Pour gérer vos consentements :

La backdoor ShadowPad infecte les solutions serveurs de NetSarang

Les spécialistes de Kaspersky Lab ont découvert une porte dérobée au sein des produits de NetSarang. Cette société sud-coréenne propose des solutions de gestion des serveurs. Les produits concernés sont, selon le bulletin du CERT français : Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218, Xlpd 5.0 Build 1220.

Ces solutions sont largement utilisées dans plusieurs sociétés à travers le monde et dans des domaines divers : banques, finances, enseignement, télécommunications, industrie, énergie et transport.

Cette porte dérobée a été nommée par l’équipe de Kaspersky Lab, ShadowPad. A la suite d’une enquête sur un serveur DNS qui réclamait des données financières, les experts ont trouvé l’origine de ces requêtes, la solution de NetSarang. Plus exactement, le fautif était un module malveillant caché dans le fichier nssock2.dll. Plus grave, ce module disposait d’un certificat légitime de NetSarang, preuve que l’infrastructure de l’éditeur a été compromise.

Une backdoor discrète et modulaire

Le module est relativement complexe, explique Kaspersky Lab dans un blog. Il est caché au sein de la bibliothèque à travers plusieurs couches de chiffrement. Dans un premier temps, le contact avec le serveur de commandes et contrôle reste basique avec l’envoi d’informations toutes les 8 heures,  comme le nom du PC, le domaine, le nom des utilisateurs. Mais le serveur C&C peut aussi à tout moment émettre, via une requête DNS TXT sur un domaine spécifique, une charge utile pour accéder à l’ensemble du système. A noter que la backdoor est modulaire en restant présente dans le registre grâce à un système de fichier virtuel (VFS). Ce système comprenait notamment un algorithme de génération de domaine. Les attaquants avaient déjà enregistrés des domaines pour une période courant de juillet à décembre 2017.

Pour les chercheurs, ce type d’attaques s’apparente au modus operandi de groupes de cyber-espionnage sinophiles, comme PlugX et Winnti. Une fois débusquée, Kaspersky Lab a immédiatement contacté NetSarang dont les équipes ont été très réactives pour mettre à jour les solutions concernées et bloquer la backdoor.

A lire aussi :

Quand un DSI laisse des backdoors pour pirater son ancien employeur

Backdoors dans le chiffrement : la France et l’Allemagne insistent

Photo credit: grover_net via Visualhunt.com / CC BY-ND

Recent Posts

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

7 heures ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

12 heures ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

13 heures ago

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago