Accueil > Nouvelles Cyber > Un cheval de Troie Asnarok personnalisé cible les pare-feu lors d'attaques hautement destructrices
CYBER NOUVELLES

Un cheval de Troie Asnarok personnalisé cible les pare-feu lors d'attaques hautement destructrices

Un groupe de piratage très expérimenté a été détecté pour s'introduire dans les réseaux et les pare-feu à l'aide d'un logiciel malveillant appelé Asnarok Trojan, aussi connu comme Asnarök.

Il s'agit d'une attaque coordonnée très récente marquée comme hautement destructrice. De nombreux efforts ont été déployés pour analyser les capacités et les dommages du cheval de Troie sur les réseaux victimes.




Les attaques de chevaux de Troie Asnarok: l'infection initiale

La semaine dernière, plusieurs attaques à fort impact ont été faites contre l'infrastructure réseau et les pare-feu les protégeant de divers propriétaires d'entreprise. L'enquête montre que la source initiale des infections semble être causée par une bogue d'injection SQL inconnu. Le résultat d'un exploit réussi est le lancement d'une attaque sur le pare-feu protégeant le réseau cible.

Cette tactique émet deux hypothèses très importantes liées aux pirates informatiques derrière l'opération de cheval de Troie. Le premier est que la cible est probablement bien documentée par le groupe criminel — il semble que les pirates aient découvert un bug dangereux qu'ils ont appris à exploiter. Pour l'exécuter, ils devront vérifier si le système possède toutes les exigences: un serveur de base de données exécutant la version logicielle nécessaire et un pare-feu attaché qui peut être exploité. Tout cela peut être fait soit en démarrant des analyses manuelles, soit en utilisant une boîte à outils de piratage complexe chargée avec les variables et les options nécessaires. Il est également possible que tout cela soit fait par le cheval de Troie Asnarok lui-même..

L'analyse des opérations du cheval de Troie montre que l'injection SQL est en fait un code à une ligne qui est placé dans l'une des bases de données existantes. Cela permettra au sereur de base de données de récupérer un fichier à partir d'un serveur contrôlé par des pirates hébergé sur un nom de domaine qui semble très sûr et légitime pour les administrateurs car il usurpe l'identité d'un fournisseur de pare-feu.. Le fichier est le compte-gouttes de charge utile qui est responsable de l'installation et du fonctionnement du cheval de Troie.. Le fichier est déposé dans un dossier temporaire conçu pour stocker des fichiers qui ne sont pas toujours utilisés par le système, modifié pour être exécutable par les utilisateurs et les processus et le démarrer.

en relation: [wplinkpreview url =”https://sensorstechforum.com/cve-2018-15715-hijack-zoom-conference-sessions/”]CVE-2018-15715: Les pirates informatiques peuvent Hijack Zoom Conférence Sessions

Asnarok Trojan Unleashed: Impact sur les systèmes

Dès que le script d'installation est déclenché sur les ordinateurs contaminés, la première action consiste à exécuter une série de commandes SQL. Ils sont conçus pour modifier ou supprimer certaines valeurs stockées dans les tables de base de données, l'un d'eux est l'affichage de l'adresse IP administrative de l'appareil contaminé. Selon les chercheurs, cela est fait afin de cacher la présence de l'infiltration.

Le script d'installation de la charge utile lancera ensuite deux autres scripts distincts qui seront téléchargés et exécutés à partir du même dossier temporaire. Leurs actions seront de modifier la configuration des pare-feu déployés, services de démarrage et autres applications en cours d'exécution. Un mécanisme supplémentaire géré par le moteur est le l'installation persistante de tous les codes malveillants. Chaque fois que l'appareil est démarré, les scripts sont lancés. Certaines applications et services en cours d'exécution peuvent être arrêtés ou modifiés. L'un des scripts établir la connexion cheval de Troie qui connectera la machine détournée à un serveur distant d'où un programme sera téléchargé. Cela exécutera un pare-feu de malware qui remplacera le logiciel standard.

Les conséquences des actions du cheval de Troie comprennent le vol de données qui peut inclure le contenu de la base de données et les données du système de la machine. Les informations collectées peuvent être utilisées pour créer un identifiant unique basé sur les données extraites. L'analyse complète du cheval de Troie Asnarok semble détourner les données suivantes: adresse IP publique, clé de licence de pare-feu, Informations sur le compte utilisateur SQL, mots de passe administrateur, Utilisateurs et politiques VPN. Les données collectées seront archivées en utilisant le commande tar puis crypté en utilisant OpenSSL. Le fichier résultant sera envoyé aux pirates via la connexion réseau Trojan.

Peu de temps après l'infection initiale, le fournisseur a publié un correctif pour tous les appareils vulnérables. Les mises à jour automatiques des pare-feu doivent être activées pour que le fichier soit récupéré de l'entreprise et appliqué automatiquement. Pour plus d'informations, se référer au compte-rendu initial.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord