Cette menace de sécurité critique ciblerait beaucoup d’organisations
(2023/04/17)
- Reference: 2023-04-17T02_00_00Z
- News link: https://www.toolinux.com/?cette-menace-de-securite-critique-ciblerait-beaucoup-d-organisations
- Source link:
Cette menace de sécurité critique ciblerait beaucoup d’organisations
lundi 17 avril 2023
Une menace de sécurité critique communiquant avec une infrastructure de Commande & Contrôle (C2) russe a été détectée. Elle cible de manière sélective de nombreuses organisations dans le monde entier.
Active depuis plusieurs mois, cette menace était jusque-là passée inaperçue. On doit sa découverte au groupe de [1]Threat Intelligence Infoblox .
De quoi on parle ?
L’entreprise a découvert un nouvel ensemble de balises s’appuyant sur le protocole DNS pour communiquer avec un système de Commande & Contrôle russe. Cette menace existe depuis 1 an (avril 2022) et a été conçue de manière à rester très discrète.
Infoblox, qui avait déjà catégorisé “suspects” certains des domaines utilisés, confirme désormais qu’il s’agit d’une menace réelle et que les systèmes touchés sont compromis de façon certaine.
Renée Burton, à la tête des équipes de Threat Intelligence chez Infoblox, [2]déclare dans un post publié sur Mastodon que ce système Commande et Contrôle utilise très vraisemblablement une version modifiée de Pupy RAT , un cheval de Troie permettant l’administration et le contrôle à distance des systèmes compromis. À noter que Pupy RAT a précédemment été utilisée par des acteurs étatiques et relève d’une menace de type persistante et avancée (APT).
Pourquoi c’est important
Les premières analyses ThreatIntell suggèrent qu’il s’agit d’un acteur unique, du fait de caractéristiques communes en termes de comportements DNS. Infoblox n’a pas encore vérifié le vecteur d’attaque mais travaille actuellement sur d’autres données Threat Intelligence pour compléter cette première analyse. Les organisations disposant d’une solution sécurisant le protocole DNS sont en mesure de bloquer ces domaines immédiatement, réduisant ainsi les risques, pendant qu’elles poursuivent leurs investigations.
Liste des domaines C&C à bloquer :
Quels domaines bloquer ?
claudfront[.]net
allowlisted[.]net
atlas-upd[.]com
ads-tm-glb[.]click
cbox4[.]ignorelist[.]com
hsdps[.]cc
Impact
Le groupe Threat Intelligence d’Infoblox pense que cette série de balises C2 existe sur des réseaux ciblés et qu’elle n’est pas générée depuis des ordinateurs portables ou mobiles. La présence d’un cheval de Troie d’accès à distance (RAT) non détecté dans un réseau permet à l’attaquant de contrôler l’appareil.
[3]
[1] https://www.infoblox.com/
[2] https://infosec.exchange/@knitcode/110192910797988943
[3] https://www.toolinux.com/?cette-menace-de-securite-critique-ciblerait-beaucoup-d-organisations#forum
lundi 17 avril 2023
Une menace de sécurité critique communiquant avec une infrastructure de Commande & Contrôle (C2) russe a été détectée. Elle cible de manière sélective de nombreuses organisations dans le monde entier.
Active depuis plusieurs mois, cette menace était jusque-là passée inaperçue. On doit sa découverte au groupe de [1]Threat Intelligence Infoblox .
De quoi on parle ?
L’entreprise a découvert un nouvel ensemble de balises s’appuyant sur le protocole DNS pour communiquer avec un système de Commande & Contrôle russe. Cette menace existe depuis 1 an (avril 2022) et a été conçue de manière à rester très discrète.
Infoblox, qui avait déjà catégorisé “suspects” certains des domaines utilisés, confirme désormais qu’il s’agit d’une menace réelle et que les systèmes touchés sont compromis de façon certaine.
Renée Burton, à la tête des équipes de Threat Intelligence chez Infoblox, [2]déclare dans un post publié sur Mastodon que ce système Commande et Contrôle utilise très vraisemblablement une version modifiée de Pupy RAT , un cheval de Troie permettant l’administration et le contrôle à distance des systèmes compromis. À noter que Pupy RAT a précédemment été utilisée par des acteurs étatiques et relève d’une menace de type persistante et avancée (APT).
Pourquoi c’est important
Les premières analyses ThreatIntell suggèrent qu’il s’agit d’un acteur unique, du fait de caractéristiques communes en termes de comportements DNS. Infoblox n’a pas encore vérifié le vecteur d’attaque mais travaille actuellement sur d’autres données Threat Intelligence pour compléter cette première analyse. Les organisations disposant d’une solution sécurisant le protocole DNS sont en mesure de bloquer ces domaines immédiatement, réduisant ainsi les risques, pendant qu’elles poursuivent leurs investigations.
Liste des domaines C&C à bloquer :
Quels domaines bloquer ?
claudfront[.]net
allowlisted[.]net
atlas-upd[.]com
ads-tm-glb[.]click
cbox4[.]ignorelist[.]com
hsdps[.]cc
Impact
Le groupe Threat Intelligence d’Infoblox pense que cette série de balises C2 existe sur des réseaux ciblés et qu’elle n’est pas générée depuis des ordinateurs portables ou mobiles. La présence d’un cheval de Troie d’accès à distance (RAT) non détecté dans un réseau permet à l’attaquant de contrôler l’appareil.
[3]
[1] https://www.infoblox.com/
[2] https://infosec.exchange/@knitcode/110192910797988943
[3] https://www.toolinux.com/?cette-menace-de-securite-critique-ciblerait-beaucoup-d-organisations#forum