Les chercheurs en cybersécurité du Threat Intelligence Group d’Infoblox ont découvert un nouveau cheval de Troie d’accès à distance (RAT) caché dans les réseaux d’entreprise du monde entier et affirment qu’il fonctionne en secret depuis environ un an.
Les chercheurs ont nommé le RAT Pupy et ont pu retracer sa boîte à outils jusqu’en Russie, et pensent maintenant qu’un attaquant parrainé par l’État est derrière la campagne.
Dans un communiqué de presse, les chercheurs d’Infoblox ont déclaré avoir trouvé une menace de sécurité critique communiquant avec un malware. (s’ouvre dans un nouvel onglet) boîte à outils baptisée « Decoy Dog ».
IP russe
Cette boîte à outils communique avec une adresse IP russe et cible des organisations du monde entier : États-Unis, Europe, Amérique du Sud et Asie. Les entreprises ciblées par ce nouveau RAT comprennent celles des secteurs de la technologie, de la santé, de l’énergie, de la finance et autres.
Le RAT n’est «pas votre menace générique pour les appareils grand public», principalement en raison de la difficulté à détecter toute activité sur les terminaux compromis.
« Cette communication C2 était très difficile à trouver, en raison d’une petite quantité de requêtes de données dans un grand pool de données DNS », affirment les chercheurs. « Ce RAT utilise le DNS comme un canal C2 à travers lequel l’acteur malveillant a le contrôle des périphériques internes. »
Pupy est un projet open source, affirment en outre les chercheurs, affirmant qu’il a été « constamment associé » à des acteurs de l’État-nation.
L’identité des attaquants, ainsi que la nature du compromis, sont inconnues à l’époque, a déclaré Infoblox, et a ajouté qu’il travaillait actuellement avec d’autres fournisseurs de cybersécurité pour découvrir également ces détails.
« Les organisations dotées d’un DNS protecteur sont en mesure de bloquer ces domaines immédiatement, atténuant ainsi leur risque tout en poursuivant leurs recherches », conclut le rapport. Voici une liste de domaines C2 qui devraient être bloqués, pour atténuer les risques potentiels
- claudfront[.]filet
- sur liste blanche[.]filet
- atlas-upd[.]com
- ads-tm-glb[.]Cliquez sur
- cbox4[.]liste ignorée[.]com
- hsdps[.]cc
- Voici les meilleurs pare-feu (s’ouvre dans un nouvel onglet) autour pour vous garder en sécurité