Certains produits de pare-feu Sophos ont été attaqués avec un nouveau logiciel malveillant Trojan, surnommé Asnarök par la firme de cybersécurité Sophos, pour voler des noms d’utilisateur et hacher des mots de passe à partir du 22 avril selon un calendrier officiel.

Le malware exploite une vulnérabilité d’injection SQL zero-day qui peut conduire à l’exécution de code à distance sur tous les pare-feu physiques et virtuels non corrigés qu’il cible.

« Il y avait une orchestration importante impliquée dans l’exécution de l’attaque, en utilisant une chaîne de scripts shell Linux qui a finalement téléchargé le malware exécutable binaire ELF compilé pour un système d’exploitation de pare-feu », a déclaré Sophos dans un avis publié ce week-end.

« Cette attaque ciblait les produits Sophos et visait apparemment à voler des informations sensibles du pare-feu. »

Chaîne d’infection des chevaux de Troie

La charge utile du logiciel malveillant Asnarök a été téléchargée sur les dispositifs de pare-feu attaqués sous la forme de plusieurs scripts shell Linux après avoir exploité la vulnérabilité d’exécution de code à distance par injection SQL zéro jour.

L’exploit utilisé pour télécharger la charge utile a également laissé tomber un script shell qui a rendu le script d’installation du malware exécutable et l’a lancé sur les appareils compromis.

Asnarök a également « modifié les services pour s’assurer qu’il fonctionne à chaque démarrage du pare-feu; il a servi de mécanisme de persistance détourné pour le malware », selon une analyse Sophos.

Flux d'attaque et exfiltration de données
Image: Sophos

Asnarök vole les informations d’identification du pare-feu

Comme les chercheurs l’ont découvert lors de l’examen et de l’ingénierie inverse du cheval de Troie, le logiciel malveillant est spécialement conçu pour collecter et exfiltrer les noms d’utilisateur et les mots de passe hachés du pare-feu, ainsi que certaines informations système.

Infos WEB:  Le Tibet va devenir la passerelle de données de la Chine vers l'Asie du Sud - infos

Sophos a déclaré que les informations d’identification associées aux systèmes d’authentification externes tels que les services Active Directory et LDAP n’étaient pas exposées et n’étaient pas ciblées par Asnarök.

De plus, Sophos ne dispose d’aucune preuve que les données collectées par les attaquants avec l’aide du cheval de Troie Asnarök aient été exfiltrées avec succès.

Le malware est uniquement capable de collecter un pare-feu …



Voir la source de cette publication