Infoblox détecte une menace informatique russe restée discrète depuis un an et dont l’objectif est de prendre le contrôle à distance de systèmes d’information ciblés

0
473

Aujourd’hui, le groupe de Threat Intelligence Infoblox a dévoilé une menace de sécurité critique communiquant avec une infrastructure de Commande & Contrôle (C2) russe ciblant de manière sélective de nombreuses organisations dans le monde entier. 

Active depuis plusieurs mois, cette menace était jusque-là passée inaperçue. 

Informations à retenir concernant cette menace : 

  • Infoblox a découvert un nouvel ensemble de balises s’appuyant sur le protocole DNS pour communiquer avec un système de Commande & Contrôle russe. Cette menace existe depuis 1 an (avril 2022) et a été conçue de manière à rester très discrète.  
  • Infoblox, qui avait déjà catégorisés comme “suspects” certains des domaines utilisés, confirme désormais qu’il s’agit d’une menace réelle et que les systèmes touchés sont compromis de façon certaine.
  •  
  • Renée Burton, à la tête des équipes de Threat Intelligence chez Infoblox, déclare dans un post publié sur Mastodon que ce système Commande et Contrôle utilise très vraisemblablement une version modifiée de Pupy RAT, un cheval de Troie permettant l’administration et le contrôle à distance des systèmes compromis.  
  • “Nous sommes convaincus que ce ne sont pas les appareils grand public qui sont visés et compromis. Le phénomène a évolué et de nouveaux domaines ont été créés”, a déclaré Renée Burton, responsable du groupe Infoblox Threat Intelligence.  
  • A noter que Pupy RAT a précédemment été utilisée par des acteurs étatiques et relève d’une menace de type persistante et avancée (APT). 
  • Les premières analyses ThreatIntell suggèrent qu’il s’agit d’un acteur unique, du fait de caractéristiques communes en termes de comportements DNS.  Infoblox n’a pas encore vérifié le vecteur d’attaque mais travaille actuellement sur d’autres données Threat Intelligence pour compléter cette première analyse.  
  • Les organisations disposant d’une solution sécurisant le protocole DNS sont en mesure de bloquer ces domaines immédiatement, réduisant ainsi les risques, pendant qu’elles poursuivent leurs investigations.  

Liste des domaines C&C à bloquer : 

Infoblox recommande vivement aux organisations de bloquer ces domaines dès maintenant ! 

  • claudfront[.]net
  • allowlisted[.]net 
  • atlas-upd[.]com 
  • ads-tm-glb[.]click 
  • cbox4[.]ignorelist[.]com 
  • hsdps[.]cc 

Impact :  

Le groupe Threat Intelligence d’Infoblox pense que cette série de balises C2 existe sur des réseaux ciblés et qu’elle n’est pas générée depuis des ordinateurs portables ou mobiles. La présence d’un cheval de Troie d’accès à distance (RAT) non détecté dans un réseau permet à l’attaquant de contrôler l’appareil. 

La semaine prochaine, Infoblox publiera des détails plus spécifiques sur cette menace et sur l’importance d’une stratégie de protection DNS.  

Renée Burton, responsable du groupe Threat Intelligence d’Infoblox, qui a annoncé hier sur Mastodon la découverte à 20h26 (heure française), sera présente à la RSA à partir du 25 avril, où elle parlera plus en détail de cette menace et fournira plus d’informations sur les domaines “lookalike”.