Des chercheurs de l’équipe de sécurité Netlab de Qihoo 360 ont publié les détails d’un nouveau botnet en évolution appelé « Abbot » qui a été observé dans la nature avec des fonctionnalités de propagation de type ver pour infecter les systèmes Linux et lancer des attaques par déni de service distribué (DDoS) contre des cibles.
Alors que la première version du botnet remonte à juillet 2021, les nouvelles variantes observées aussi récemment que le 30 octobre ont été équipées de mises à jour supplémentaires pour frapper les serveurs Web Linux avec des mots de passe faibles et sont sensibles aux vulnérabilités N-day, y compris une implémentation personnalisée de DDoS fonctionnalité, indiquant que le malware est en développement continu.
Les conclusions de Netlab s’appuient également sur un rapport de Trend Micro au début du mois dernier, qui médiatisé attaques ciblant Huawei Cloud avec des logiciels malveillants d’extraction de crypto-monnaie et de cryptojacking. Les intrusions étaient également remarquables par le fait que les scripts shell malveillants désactivaient spécifiquement un processus conçu pour surveiller et analyser les serveurs à la recherche de problèmes de sécurité, ainsi que pour réinitialiser les mots de passe des utilisateurs sur le service cloud Elastic.
Selon la société chinoise de sécurité Internet, ces scripts shell sont désormais utilisés pour diffuser Abcbot. Au total, six versions du botnet ont été observées à ce jour.
Une fois installé sur un hôte compromis, le logiciel malveillant déclenche l’exécution d’une série d’étapes qui entraînent la réaffectation de l’appareil infecté en serveur Web, en plus de signaler les informations système à un serveur de commande et de contrôle (C2), se propageant le malware vers de nouveaux appareils en recherchant les ports ouverts et en se mettant à jour automatiquement au fur et à mesure que de nouvelles fonctionnalités sont mises à disposition par ses opérateurs.
« Ce qui est intéressant, c’est que l’échantillon [updated] le 21 octobre utilise l’open-source Rootkit ATK pour mettre en œuvre la fonction DDoS », un mécanisme qui, selon les chercheurs, « nécessite qu’Abcbot télécharge le code source, compile et charge le module rootkit avant d’effectuer [a] Attaque DDoS. »
« Ce processus nécessite trop d’étapes, et toute étape défectueuse entraînera l’échec de la fonction DDoS », ont noté les chercheurs, conduisant l’adversaire à remplacer le code standard par un module d’attaque personnalisé dans une version ultérieure. sorti le 30 octobre qui abandonne complètement le rootkit ATK.
Les résultats interviennent un peu plus d’une semaine après que l’équipe de sécurité de Netlab a divulgué les détails d’un botnet « Pink » qui aurait infecté plus de 1,6 million d’appareils principalement situés en Chine dans le but de lancer des attaques DDoS et d’insérer des publicités dans des sites Web HTTP visités par des personnes sans méfiance. utilisateurs. Dans un développement connexe, AT&T Alien Labs a dévoilé un nouveau malware Golang surnommé « BotenaGo » qui a été découvert en utilisant plus de trente exploits pour attaquer potentiellement des millions de routeurs et d’appareils IoT.
« Le processus de mise à jour au cours de ces six mois n’est pas tant une mise à niveau continue des fonctionnalités qu’un compromis entre différentes technologies », ont conclu les chercheurs. « Abcbot passe lentement de l’enfance à la maturité. Nous ne considérons pas cette étape comme la forme finale, il y a évidemment de nombreux domaines d’amélioration ou de fonctionnalités à développer à ce stade. »
