Attaques du Système de Redirection de Trafic (TDS) Parrot
Table des matières :
Un nouveau système de direction de trafic (TDS), surnommé Parrot TDS, exploite un réseau de serveurs piratés hébergeant des sites web pour diriger les victimes qui correspondent au profil requis vers des domaines utilisés pour exécuter des escroqueries ou distribuer des logiciels malveillants. Selon les données actuelles, le nombre de sites web compromis a atteint 16 500 et continue d’augmenter. Les adversaires ciblent principalement les serveurs légitimes, les bases de données d’hébergement, et les sites web d’établissements éducatifs, de ressources gouvernementales et de plateformes de contenu pour adultes.
Détecter l’Activité Malveillante Associée à Parrot TDS
Pour détecter les fichiers malveillants installés dans votre système par les opérateurs de Parrot TDS, utilisez la règle basée sur Sigma créée par notre développeur Threat Bounty Furkan Celik, qui est toujours à l’affût des menaces émergentes:
Cette détection est disponible pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.
La règle est alignée avec le dernier framework MITRE ATT&CK® v.10, abordant la tactique de Commande et Contrôle avec le logiciel d’accès à distance (T1219) comme technique principale.
Parcourez la vaste bibliothèque de règles disponible sur la plateforme de SOC Prime pour trouver d’autres contenus de détection de menaces pertinents et détecter si votre système est infecté par des fichiers malveillants. Êtes-vous un chasseur de menaces professionnel cherchant à partager votre expertise avec la plus grande communauté de cybersécurité au monde? Rejoignez notre initiative de crowdsourcing pour des récompenses continues et de la reconnaissance avec le programme Threat Bounty.
Voir les Détections Rejoindre Threat Bounty
Campagnes Utilisant Parrot TDS
Selon un nouveau rapport des chercheurs de Avast, Parrot TDS est apparu vers octobre 2021, avec le nombre de campagnes utilisant cet outil atteignant un pic en février 2022.
Parrot TDS sert de portail par lequel des campagnes plus nocives peuvent atteindre des victimes potentielles. Dans ce scénario, FakeUpdates (également connu sous le nom de SocGholish) modifie l’apparence des sites infectés avec du JavaScript pour afficher de fausses alertes de mise à jour du navigateur, avec un fichier requis disponible pour téléchargement à portée de main. Ce que les victimes reçoivent réellement est un outil d’accès à distance.
Lorsqu’un utilisateur trompé visite l’un des sites infectés, Parrot TDS utilise un script PHP injecté installé sur le site compromis pour collecter des informations client et transmettre la requête au serveur de commande et de contrôle (C2), permettant à l’attaquant d’exécuter du code arbitraire. Le serveur C2 répond avec un code JavaScript qui s’exécute sur le système de la victime et l’expose potentiellement à d’autres risques. Une web shell qui fournit aux adversaires un accès distant persistant au serveur web a également été découverte avec le script PHP de porte dérobée malveillant. La charge utile est le Client RAT NetSupport configuré pour fonctionner furtivement, accordant l’accès à la machine compromise. La web shell mentionnée est ensuite copiée à plusieurs emplacements sous des noms presque identiques — d’où l’origine de « perroquetage » du surnom du TDS.
Les opérateurs de Parrot TDS concentrent leur intérêt malveillant sur l’exploitation des serveurs hébergeant des sites web propulsés par WordPress et Joomla, contrairement à son prédécesseur du début de l’automne 2020, le TDS surnommé Prometheus. Dans la chaîne d’attaque du Prometheus TDS, les acteurs menaçants ont utilisé des e-mails de spam avec une pièce jointe HTML, une URL Google Docs, ou un lien vers une web shell hébergée sur un serveur piraté pour initier un processus vicieux. Une URL malveillante conduisait les victimes à une porte dérobée Prometheus PHP qui collectait les informations requises et les envoyait au panneau d’administration, permettant aux acteurs de décider s’ils servaient directement des logiciels malveillants à l’utilisateur ou le redirigeaient vers une autre URL définie par les hackers.
Suivez les mises à jour du blog SOC Prime pour vous informer sur les sujets brûlants de la cybersécurité et améliorer vos capacités de chasse aux menaces. Désireux de partager votre contenu de détection avec la plus grande communauté de cyberdéfense au monde? Les chercheurs en cybersécurité et les auteurs de contenu du monde entier sont chaleureusement invités à contribuer à la défense collaborative de la cybersécurité, à gagner des récompenses récurrentes, et à lutter contre les menaces actuelles et émergentes.
