Un nouveau malware nommé « Seiche » a été repéré infectant des routeurs de niveau entreprise et de petit bureau/bureau à domicile (SOHO) pour surveiller les données qui les traversent et voler des informations d’authentification.

Les laboratoires Black Lotus de Lumen Technologies ont examiné le nouveau logiciel malveillant et rapportent que Cuttlefish crée un proxy ou un tunnel VPN sur le routeur compromis pour exfiltrer discrètement les données tout en contournant les mesures de sécurité qui détectent les connexions inhabituelles.

Le malware peut également effectuer un détournement DNS et HTTP dans des espaces IP privés, interférant avec les communications internes et éventuellement introduisant plus de charges utiles.

Bien que Seiche ait un code qui chevauche HiatusRat, qui a déjà été observé dans des campagnes alignées sur les intérêts de l’État chinois, il n’y a aucun lien concret entre les deux, et l’attribution était impossible.

Black Lotus Labs affirme que le logiciel malveillant est actif depuis au moins juillet 2023. Il mène actuellement une campagne active concentrée en Turquie, avec quelques infections ailleurs affectant les services de téléphonie par satellite et de centres de données.

Infections de la seiche
La méthode d’infection initiale des routeurs n’a pas encore été déterminée, mais elle pourrait impliquer l’exploitation de vulnérabilités connues ou des informations d’identification de forçage brut.

Une fois l’accès obtenu à un routeur, un script bash (« s.sh ») est déployé et commence à collecter des données basées sur l’hôte, y compris des détails sur la liste des répertoires, les processus en cours d’exécution et les connexions actives.

Le script télécharge et exécute la charge utile principale de Seiche (« .fuseau horaire »), qui est chargé en mémoire pour échapper à la détection pendant que le fichier téléchargé est effacé du système de fichiers.

Black Lotus Labs rapporte que Seiche est disponible dans diverses versions prenant en charge ARM, i386, i386_i686, i386_x64, mips32 et mips64, couvrant la plupart des architectures de routeurs.

Chaîne d’infection

Surveiller votre trafic
Lors de l’exécution, Cuttlefish utilise un filtre de paquets pour surveiller toutes les connexions via l’appareil, et lorsqu’il détecte des données spécifiques, il effectue une action particulière basée sur des ensembles de règles régulièrement mis à jour à partir du serveur de commande et de contrôle (C2) de l’attaquant.

Le malware renifle passivement les paquets à la recherche de « marqueurs d’informations d’identification » dans le trafic, tels que les noms d’utilisateur, les mots de passe et les jetons, en particulier associés aux services publics basés sur le cloud comme Alicloud, AWS, Digital Ocean, CloudFlare et BitBucket.

« Cela a attiré notre attention car bon nombre de ces services seraient utilisés pour stocker des données autrement trouvées sur le réseau », explique le rapport de Black Lotus Labs.

« La capture des informations d’identification en transit pourrait permettre aux auteurs de menaces de copier des données à partir de ressources cloud qui n’ont pas le même type de journalisation ou de contrôles en place que les périmètres réseau traditionnels. »

Les données correspondant à ces paramètres sont enregistrées localement, et une fois qu’elles atteignent une certaine taille (1048576 octets), elles sont exfiltrées vers le C2 à l’aide d’un VPN peer-to-peer (n2n) ou d’un tunnel proxy (socks_proxy) créé sur l’appareil.

Fonctionnalité de proxy

Pour le trafic destiné aux adresses IP privées, les requêtes DNS sont redirigées vers un serveur DNS spécifié et les requêtes HTTP sont manipulées pour rediriger le trafic vers une infrastructure contrôlée par l’acteur à l’aide de codes d’erreur HTTP 302.

« Nous soupçonnons que cette capacité permet à Seiche de détourner le trafic interne (alias « est-ouest ») via le routeur, ou le trafic de site à site lorsqu’une connexion VPN est établie entre les routeurs », expliquent les chercheurs.

« La fonction supplémentaire ouvre la porte à des ressources sécurisées qui ne sont pas accessibles via l’Internet public. »

Diagramme opérationnel de la seiche

Protection contre la Seiche
La seiche est une menace sérieuse pour les organisations du monde entier car elle permet aux attaquants de contourner les mesures de sécurité telles que la segmentation du réseau et la surveillance des terminaux et de passer inaperçus dans les environnements cloud pendant de longues périodes.

Black Lotus Labs suggère que les administrateurs réseau d’entreprise éliminent les informations d’identification faibles, surveillent les connexions inhabituelles des adresses IP résidentielles, sécurisent le trafic avec TLS/SSL, inspectent les périphériques à la recherche d’iptables indésirables ou d’autres fichiers anormaux, et les redémarrent régulièrement.

Lors de l’établissement de connexions à distance à des actifs de grande valeur, il est conseillé d’utiliser l’épinglage de certificats pour éviter le détournement.

Pour les utilisateurs de routeurs SOHO, il est recommandé de redémarrer régulièrement les périphériques, d’appliquer les dernières mises à jour du micrologiciel disponibles, de modifier les mots de passe par défaut, de bloquer l’accès à distance à l’interface de gestion et de les remplacer lorsqu’ils atteignent la fin de vie (EoL).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *