Avvxsejtabjtt4Zheel0Gmjwhl2Ojb3Do 4F7Ldpyepdm Cfdsliju8Naqk Vlf7Ikncvtavvh7Ic21Zhlvjufwsa8Sxmjevgqjqvh0Jw480Uidfhkz M107U4Zx5Ooyc Hkclnpwd1C B Whsrdypojvl Ejscqcwpgktu3Rihnmevhcvub5Eoa4Po0Ebgt

Microsoft a détaillé mercredi une technique jusque-là inconnue utilisée par le malware TrickBot qui consiste à utiliser des appareils Internet des objets (IoT) compromis comme intermédiaire pour établir des communications avec les serveurs de commande et de contrôle (C2).

« En utilisant les routeurs MikroTik comme serveurs proxy pour ses serveurs C2 et en redirigeant le trafic via des ports non standard, TrickBot ajoute une autre couche de persistance qui aide les adresses IP malveillantes à échapper à la détection par les systèmes de sécurité standard », a déclaré l’équipe de recherche Defender for IoT de Microsoft et le Threat Intelligence Center ( MSTIC) mentionné.

Sauvegardes Github Automatiques

TrickBot, qui est apparu comme un cheval de Troie bancaire en 2016, est devenu une menace sophistiquée et persistante, avec son architecture modulaire lui permettant d’adapter ses tactiques à différents réseaux, environnements et appareils, ainsi que d’offrir un accès en tant que service. pour les charges utiles de la prochaine étape comme le rançongiciel Conti.

L’extension des capacités de TrickBot intervient au milieu de rapports faisant état de la mise hors ligne de son infrastructure, alors même que le botnet a continuellement affiné ses fonctionnalités pour rendre son cadre d’attaque durable, échapper à l’ingénierie inverse et maintenir la stabilité de ses serveurs C2.

Avvxsegmgbcwyvxca5Lxmynbkqnhp3Zw7Dy8L Xgaomie9Iq7Ri3R9Zdqxbdadh7H3Inxyin9Js Gkv7Lqzkw19Gcdgmfwtg L Gf 49W2Twor70

Plus précisément, la nouvelle méthode identifiée par MSTIC consiste à tirer parti des appareils IoT piratés tels que les routeurs de MikroTik pour « créer une ligne de communication entre l’appareil affecté par TrickBot et le serveur C2 ».

Publicité
Empêcher Les Violations De Données

Cela implique également de s’introduire dans les routeurs en utilisant une combinaison de méthodes, à savoir des mots de passe par défaut, des attaques par force brute ou l’exploitation d’une faille désormais corrigée dans MikroTik RouterOS (CVE-2018-14847), suivi de la modification du mot de passe du routeur pour conserver l’accès.

Dans l’étape suivante, les attaquants puis publier une commande de traduction d’adresses réseau (NAT) conçue pour rediriger le trafic entre les ports 449 et 80 du routeur, établissant un chemin permettant aux hôtes infectés par TrickBot de communiquer avec le serveur C2.

« Alors que les solutions de sécurité pour les appareils informatiques conventionnels continuent d’évoluer et de s’améliorer, les attaquants exploreront d’autres moyens de compromettre les réseaux cibles », ont déclaré les chercheurs. « Les tentatives d’attaque contre les routeurs et autres appareils IoT ne sont pas nouvelles, et étant non gérées, elles peuvent facilement être les maillons les plus faibles du réseau. »


Rate this post
Publicité
Article précédentVous cherchez à embaucher ou à être embauché ? Participez au 10e rapport annuel sur les emplois open source et dites-nous ce qui compte le plus
Article suivantComment basculer rapidement entre HKLM et HKCU dans l’Éditeur du Registre
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici