Microsoft : Voici comment le botnet Trickbot a utilisé des routeurs piratés pour communiquer de manière furtive

Microsoft : Voici comment le botnet Trickbot a utilisé des routeurs piratés pour communiquer de manière furtive

Microsoft a révélé comment le botnet de chevaux de Troie Trickbot a utilisé des routeurs MikroTik compromis pour communiquer furtivement avec les PC infectés.

Trickbot, un logiciel malveillant connu pour voler des informations d’identification bancaires et diffuser des ransomwares, semblait autrefois inarrêtable. Il a continué à prospérer malgré les efforts menés par Microsoft en 2020 pour patcher des millions de PC infectés et mettre hors service la plupart de ses serveurs de commande et de contrôle (C2), à l’exception de ses C2 dédiés aux objets connectés, jusqu’à ce qu’il s’éteigne finalement au début de cette année.

publicité

Maintenant, Microsoft donne des détails sur la façon dont le groupe TrickBot exploitait des objets connectés, à savoir des routeurs MikroTik compromis. Ceux ci étaient utilisés depuis 2018 pour communiquer furtivement avec les PC infectés.

En 2018, lorsque de nombreux pirates ciblaient la CVE-2018-14847 dans le logiciel RouterOS de MikroTik, les chercheurs en sécurité ont découvert que Tickbot utilisait des routeurs MikroTik compromis comme infrastructure C2.

Les routeurs sont un outil utile pour des serveurs de contrôle car ils permettent la communication entre le C2 et les PC infectés par Trickbot sans que les défenses standard ne puissent le détecter. Les chercheurs en sécurité de Microsoft disent qu’ils ont maintenant clarifié la manière exacte dont les appareils étaient utilisés dans son infrastructure.

Après avoir pris le contrôle du routeur grâce à un mot de passe compromis, Trickbot utilisait l’interpréteur de commandes SSH de RouterOS pour créer un ensemble de commandes que RouterOS comprend mais qui n’ont aucun sens dans les interpréteurs de commandes normaux basés sur Linux. SSH est destiné à permettre des communications réseau sécurisées sur un réseau non sécurisé. Le but ultime était de rediriger le trafic du routeur compromis.

Cette commande créait une nouvelle règle réseau qui redirigeait le trafic de l’appareil infecté vers un serveur et le trafic redirigé était reçu sur le port 449 et redirigé vers le port 80, explique Microsoft.

“Ladite commande est une commande de traduction d’adresse réseau (NAT) légitime qui permet au routeur NAT d’effectuer une réécriture d’adresse IP. Dans ce cas, elle est utilisée pour une activité malveillante. Trickbot est connu pour utiliser les ports 443 et 449, et nous avons pu vérifier que certains serveurs cibles ont été identifiés comme des serveurs C2 de TrickBot dans le passé”, ajoute Microsoft.

“Comme les solutions de sécurité pour les appareils informatiques classiques continuent d’évoluer et de s’améliorer, les attaquants vont explorer d’autres moyens de compromettre les réseaux cibles. Les tentatives d’attaque contre les routeurs et autres objets connectés ne sont pas nouvelles, et n’étant pas gérés, ils peuvent facilement constituer les maillons les plus faibles du réseau. Par conséquent, les organisations devraient également tenir compte de ces appareils lors de la mise en œuvre des politiques de sécurité et des bonnes pratiques”, a déclaré Microsoft. Il a inclus des détails sur la façon de savoir si vos routeurs ont été affectés.

Malgré la notoriété et la longévité de Trickbot, les chercheurs d’Intel 471, qui ont participé au démantèlement de 2020, ont déclaré qu’en février de cette année, le malware Trickbot était à bout de souffle, les anciens développeurs étant passés à de nouveaux malwares comme BazarLoader et ont intégré le groupe de ransomware Conti.

“Intel 471 ne peut pas le confirmer, mais il est probable que les opérateurs de Trickbot ont éliminé progressivement le malware Trickbot de leurs opérations en faveur d’autres plateformes, comme Emotet. Trickbot, après tout, est un malware relativement ancien qui n’a pas été mis à jour de manière importante. Les taux de détection sont élevés et le trafic réseau lié à la communication des robots est facilement identifiable”, ont écrit les chercheurs.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *