{"id":1747,"date":"2023-03-06T13:59:00","date_gmt":"2023-03-06T13:59:00","guid":{"rendered":"https:\/\/cycuri.com\/?p=1747"},"modified":"2023-03-07T22:01:48","modified_gmt":"2023-03-07T22:01:48","slug":"le-nouveau-logiciel-malveillant-hiatusrat-cible-les-routeurs-de-qualite-professionnelle-pour-espionner-secretement-les-victimes","status":"publish","type":"post","link":"https:\/\/cycuri.com\/le-nouveau-logiciel-malveillant-hiatusrat-cible-les-routeurs-de-qualite-professionnelle-pour-espionner-secretement-les-victimes\/","title":{"rendered":"Le nouveau logiciel malveillant HiatusRAT cible les routeurs de qualit\u00e9 professionnelle pour espionner secr\u00e8tement les victimes"},"content":{"rendered":"
<\/div>\n

Un logiciel malveillant complexe in\u00e9dit cible les routeurs professionnels pour espionner secr\u00e8tement les victimes en Am\u00e9rique latine, en Europe et en Am\u00e9rique du Nord au moins depuis juillet 2022.<\/p>\n\n\n\n

La campagne insaisissable, baptis\u00e9e Hiatus<\/strong> par Lumen Black Lotus Labs, s’est av\u00e9r\u00e9e d\u00e9ployer deux binaires malveillants, un cheval de Troie d’acc\u00e8s \u00e0 distance baptis\u00e9 HiatusRAT et une variante de tcpdump<\/a> qui permet de capturer la capture de paquets sur l’appareil cible.<\/p>\n\n\n\n

\u00ab\u00a0Une fois qu’un syst\u00e8me cibl\u00e9 est infect\u00e9, HiatusRAT permet \u00e0 l’acteur de la menace d’interagir \u00e0 distance avec le syst\u00e8me, et il utilise des fonctionnalit\u00e9s pr\u00e9d\u00e9finies […] pour convertir la machine compromise en un proxy secret pour l’acteur de la menace\u00a0\u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 dans un communiqu\u00e9<\/a> .<\/p>\n\n\n\n

\u00ab\u00a0Le binaire de capture de paquets permet \u00e0 l’acteur de surveiller le trafic du routeur sur les ports associ\u00e9s aux communications de courrier \u00e9lectronique et de transfert de fichiers.\u00a0\u00bb<\/p>\n\n\n\n

Le cluster de menaces cible principalement les mod\u00e8les de routeur DrayTek Vigor en fin de vie (EoL) 2960 et 3900, avec environ 100 appareils expos\u00e9s \u00e0 Internet compromis \u00e0 la mi-f\u00e9vrier 2023. Certains des secteurs verticaux de l’industrie touch\u00e9s comprennent les produits pharmaceutiques, les services informatiques\/le conseil les entreprises et les administrations municipales, entre autres.<\/p>\n\n\n\n

Fait int\u00e9ressant, cela ne repr\u00e9sente qu’une petite fraction des 4 100 routeurs DrayTek 2960 et 3900 accessibles au public sur Internet, ce qui soul\u00e8ve la possibilit\u00e9 que \u00ab\u00a0l’acteur de la menace maintienne intentionnellement une empreinte minimale pour limiter son exposition\u00a0\u00bb.<\/p>\n\n\n\n

\u00c9tant donn\u00e9 que les appareils concern\u00e9s sont des routeurs \u00e0 large bande passante pouvant prendre en charge simultan\u00e9ment des centaines de connexions VPN, on soup\u00e7onne que l’objectif est d’espionner des cibles et d’\u00e9tablir un r\u00e9seau proxy furtif.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

\u00ab\u00a0Ces appareils vivent g\u00e9n\u00e9ralement en dehors du p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 traditionnel, ce qui signifie qu’ils ne sont g\u00e9n\u00e9ralement pas surveill\u00e9s ou mis \u00e0 jour\u00a0\u00bb, a d\u00e9clar\u00e9 Mark Dehus, directeur des renseignements sur les menaces pour Lumen Black Lotus Labs. \u00ab\u00a0Cela aide l’acteur \u00e0 \u00e9tablir et \u00e0 maintenir une persistance \u00e0 long terme sans d\u00e9tection.\u00a0\u00bb<\/p>\n\n\n\n

Le vecteur d’acc\u00e8s initial exact utilis\u00e9 dans les attaques est inconnu, mais une violation r\u00e9ussie est suivie du d\u00e9ploiement d’un script bash qui t\u00e9l\u00e9charge et ex\u00e9cute HiatusRAT et un binaire de capture de paquets.<\/p>\n\n\n\n

HiatusRAT est riche en fonctionnalit\u00e9s et peut collecter des informations sur le routeur, ex\u00e9cuter des processus et contacter un serveur distant pour r\u00e9cup\u00e9rer des fichiers ou ex\u00e9cuter des commandes arbitraires. Il est \u00e9galement capable de transmettre par proxy le trafic de commande et de contr\u00f4le (C2) via le routeur.<\/p>\n\n\n\n

L’utilisation de routeurs compromis comme infrastructure proxy est probablement une tentative d’obscurcir les op\u00e9rations C2, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n\n\n\n

Les d\u00e9couvertes surviennent plus de six mois apr\u00e8s que Lumen Black Lotus Labs a \u00e9galement fait la lumi\u00e8re sur une campagne de logiciels malveillants sans rapport avec les routeurs qui utilisait un nouveau cheval de Troie appel\u00e9 ZuoRAT .<\/p>\n\n\n\n

\u00ab\u00a0La d\u00e9couverte de Hiatus confirme que les acteurs continuent de poursuivre l’exploitation du routeur\u00a0\u00bb, a d\u00e9clar\u00e9 Dehus. \u00ab\u00a0Ces campagnes d\u00e9montrent la n\u00e9cessit\u00e9 de s\u00e9curiser l’\u00e9cosyst\u00e8me des routeurs, et les routeurs doivent \u00eatre r\u00e9guli\u00e8rement surveill\u00e9s, red\u00e9marr\u00e9s et mis \u00e0 jour, tandis que les appareils en fin de vie doivent \u00eatre remplac\u00e9s.\u00a0\u00bb<\/p>\n","protected":false},"excerpt":{"rendered":"

Un logiciel malveillant complexe in\u00e9dit cible les routeurs professionnels pour espionner secr\u00e8tement les victimes en Am\u00e9rique latine, en Europe et en Am\u00e9rique du Nord au moins depuis juillet 2022. La campagne insaisissable, baptis\u00e9e Hiatus par Lumen Black Lotus Labs, s’est av\u00e9r\u00e9e d\u00e9ployer deux binaires malveillants, un cheval de Troie d’acc\u00e8s \u00e0 distance baptis\u00e9 HiatusRAT et […]<\/p>\n","protected":false},"author":1,"featured_media":1748,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[48,55],"tags":[49,104],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1747"}],"collection":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/comments?post=1747"}],"version-history":[{"count":3,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1747\/revisions"}],"predecessor-version":[{"id":1753,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1747\/revisions\/1753"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media\/1748"}],"wp:attachment":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media?parent=1747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/categories?post=1747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/tags?post=1747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}