Le rapport publié par Renzon Cruz, Nicolas Bareil et Navin Thomas de la société Palo Alto Networks analyse les activités récentes ciblant les infrastructures télécoms, attribuées avec une haute confiance au groupe Liminal Panda.
Les attaquants ont utilisé des outils sur mesure adaptés aux environnements télécoms, exploitant des protocoles courants tels que SSH, ICMP, DNS et GTP pour maintenir l’accès et établir des canaux de commande et de contrôle dissimulés.
Les tactiques d’accès initial incluent des attaques par force brute SSH utilisant des listes de comptes spécifiques aux équipements télécoms. Des implants tels qu’AuthDoor et GTPDoor ont été déployés pour maintenir l’accès et exécuter des commandes à distance.
Des outils supplémentaires comme Cordscan et EchoBackdoor ont été observés, ciblant des nœuds de support GPRS et utilisant des communications furtives via des paquets ICMP et GTP-C.
Les indicateurs de compromission (IOCs) incluent plusieurs hachages SHA256 pour des fichiers malveillants identifiés, et les techniques, tactiques et procédures (TTPs) incluent l’évasion de la détection par la désactivation de SELinux et la dissimulation de noms de processus.
Ce rapport est une analyse technique détaillée visant à informer sur les méthodes d’infiltration et de persistance employées par un acteur étatique présumé.
🧠 TTPs et IOCs détectés
TTP
Accès initial par force brute SSH, Utilisation d’implants pour maintenir l’accès (AuthDoor, GTPDoor), Évasion de la détection par désactivation de SELinux, Dissimuler des noms de processus, Utilisation de communications furtives via ICMP et GTP-C
IOC
Plusieurs hachages SHA256 pour des fichiers malveillants
🔗 Source originale : https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/