Un acteur de menace inconnu cible les routeurs (s’ouvre dans un nouvel onglet) avec des chevaux de Troie d’accès à distance (RAT), dans le but de détourner le trafic, de collecter des données sensibles et de compromettre les appareils connectés.
C’est selon Black Lotus Lab, la division de renseignement sur les menaces de Lumen Technologies, qui a récemment observé des attaques réelles exploitant une nouvelle souche de logiciels malveillants, appelée ZuoRAT.
ZuoRAT est un cheval de Troie d’accès à distance en plusieurs étapes, développé exclusivement pour les routeurs SOHO (petit bureau/bureau à domicile). Il est utilisé depuis environ deux ans maintenant, selon les chercheurs, ciblant les entreprises d’Amérique du Nord et d’Europe.
Le logiciel malveillant exploite des vulnérabilités connues pour fournir aux attaquants un accès aux routeurs. Une fois à l’intérieur, ils peuvent déployer deux RAT supplémentaires personnalisés sur les appareils cibles.
Les RAT supplémentaires permettent aux pirates de charger et de télécharger des fichiers, d’exécuter des commandes et de persister sur le poste de travail. L’un d’eux a une fonctionnalité multiplateforme, il a été ajouté.
Black Lotus Labs a également trouvé deux serveurs de commande et de contrôle (C2) distincts. L’un est conçu pour le poste de travail personnalisé RAT et exploite les services tiers chinois. Le second a été conçu pour les routeurs.
Cette campagne malveillante a commencé à peu près en même temps que la pandémie, et les chercheurs pensent que les deux sont liés. Lorsque les entreprises sont passées au travail à distance, les employés ont commencé à accéder aux réseaux d’entreprise depuis leur domicile, ce qui a augmenté le facteur de risque.
Les attaquants y ont vu une opportunité, essayant de tirer parti des appareils domestiques, tels que les routeurs, à leurs fins néfastes.
« Les campagnes de logiciels malveillants sur les routeurs constituent une grave menace pour les organisations, car les routeurs existent en dehors du périmètre de sécurité conventionnel et peuvent souvent présenter des faiblesses qui rendent le compromis relativement simple à réaliser », a déclaré Mark Dehus, directeur de Threat Intelligence pour Lumen Black Lotus Labs.
« Dans cette campagne, nous avons observé la capacité d’un acteur malveillant à exploiter les routeurs SOHO, à accéder secrètement et à modifier le trafic Internet de manière difficile à détecter et à prendre pied sur le réseau compromis. »