Publié initialement en Amérique du Nord le 28 juin 2022 – Paris (France), le 7 juillet 2022 - Black Lotus Labs, l’entité de Lumen Technologies (NYSE : LUMN) chargée du renseignement sur les menaces, annonce la découverte d’un nouveau cheval de Troie d’accès à distance (RAT) appelé ZuoRAT. Ciblant les télétravailleurs via leurs équipements de bureau ou dédiés au télétravail, ZuoRAT fait partie d’une campagne complexe qui est passée inaperçue pendant près de deux ans. Les tactiques, techniques et procédures (TTP) observées par les analystes sont très sophistiquées et seraient signées par des acteurs de la menace de type État-nation.

Alors que la pandémie a forcé les entreprises à fermer leurs bureaux, le passage rapide au télétravail a accentué les problèmes de sécurité notamment parce que des millions d’employés ont commencé à accéder aux réseaux d’entreprise depuis leurs domiciles. Cela a donné aux acteurs de la menace une nouvelle opportunité d’exploiter les appareils domestiques tels que les routeurs SOHO - qui sont largement utilisés mais rarement surveillés ou patchés - pour collecter des données en transit, détourner des connexions et compromettre les appareils des réseaux adjacents.

« Les campagnes utilisant les logiciels malveillants et visant les routeurs représentent une lourde menace pour les entreprises. En effet, les routeurs se trouvent en dehors du périmètre de sécurité conventionnel et présentent souvent des faiblesses qui les rendent sensibles aux compromissions », a déclaré Mark Dehus, Director of Threat Intelligence pour Lumen Black Lotus Labs. « Lors de cette campagne, nous avons observé la capacité d’un acteur de la menace à exploiter les routeurs SOHO, à accéder secrètement au trafic Internet, à le modifier de manière quasiment indétectable, jusqu’à s’installer dans le réseau compromis. »

Dehus poursuit : « Les entreprises doivent surveiller de près les appareils SOHO et rechercher tout signe d’activité qui pourrait être assimilé aux éléments mentionnés dans notre étude. Ce niveau de sophistication nous amène à penser que cette campagne pourrait ne pas être limitée au nombre restreint de victimes observé. Pour atténuer la menace, les entreprises doivent s’assurer de la mise à jour des routeurs et confirmer que ces appareils soient équipés des derniers logiciels disponibles. »

Ci-dessous les principaux éléments de cette étude :

Black Lotus Labs a récemment découvert la campagne très ciblée et sophistiquée menée en Amérique du Nord et en Europe pendant près de deux ans (à partir d’octobre 2020).
La campagne comprenait ZuoRAT - un RAT à plusieurs étapes développé pour les routeurs SOHO et exploitant des vulnérabilités connues - qui a permis à l’acteur de la menace d’analyser le réseau domestique adjacent, de collecter des données en transit et de détourner le trafic Internet DNS/HTTP des particuliers. L’acteur a pu passer inaperçu en s’installant sur des appareils rarement surveillés et en détournant le trafic DNS et HTTP.
La capacité de détournement a permis à l’acteur de la menace de passer du routeur aux postes de travail présents sur le réseau, où il a probablement déployé deux autres RAT personnalisés, dont l’un d’entre eux autorisait une fonctionnalité multiplateforme (c’est-à-dire Windows, Linux et MacOs). Ces RATs supplémentaires permettaient à l’acteur de télécharger des fichiers, d’exécuter des commandes et de subsister sur le poste de travail.
Black Lotus Labs a également identifié deux ensembles distincts d’infrastructures de commande et de contrôle (C2). Le premier a été développé pour le RAT personnalisé du poste de travail et s’appuie sur des services tiers d’entreprises chinoises. Le second ensemble de C2 a été développé pour les routeurs.
En utilisant la télémétrie propriétaire du backbone IP mondial de Lumen, Black Lotus Labs a identifié qu’une fois infectés, les routeurs communiquaient avec d’autres routeurs compromis pour masquer davantage l’activité malveillante.