Malware De Botnet Linux

Un nouveau botnet vermifuge qui se propage via GitHub et Pastebin pour installer des mineurs de crypto-monnaie et des portes dérobées sur les systèmes cibles est de retour avec des capacités étendues pour compromettre les applications Web, les caméras IP et les routeurs.

Au début du mois dernier, des chercheurs de Juniper Threat Labs ont documenté une campagne de crypto-minage appelée « Gitpaste-12, « qui utilisait GitHub pour héberger du code malveillant contenant jusqu’à 12 modules d’attaque connus qui sont exécutés via des commandes téléchargées à partir d’une URL Pastebin.

Les attaques se sont produites pendant une période de 12 jours à partir du 15 octobre 2020, avant que l’URL et le référentiel de Pastebin ne soient fermés le 30 octobre 2020.

Maintenant, selon Juniper, le deuxième vague d’attaques a commencé le 10 novembre en utilisant des charges utiles d’un autre référentiel GitHub, qui, entre autres, contient un crypto-mineur Linux (« ls »), un fichier avec une liste de mots de passe pour les tentatives de force brute (« pass »), et un fichier local exploit d’escalade de privilèges pour les systèmes Linux x86_64.

L’infection initiale se produit via X10-unix, un binaire écrit en langage de programmation Go, qui procède au téléchargement des charges utiles de l’étape suivante à partir de GitHub.

Publicité

«Le ver mène une vaste série d’attaques ciblant des applications Web, des caméras IP, des routeurs et plus, comprenant au moins 31 vulnérabilités connues – dont sept ont également été observées dans le précédent échantillon de Gitpaste-12 – ainsi que des tentatives de compromettre open Connexions du pont de débogage Android et portes dérobées de logiciels malveillants existants », a noté Asher Langton, chercheur chez Juniper, dans une analyse de lundi.

Cryto Malware

La liste des 31 vulnérabilités comprend des failles de code à distance dans l’interface utilisateur de gestion du trafic F5 BIG-IP (CVE-2020-5902), Pi-hole Web (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987) , et vBulletin (CVE-2020-17496), et un bogue d’injection SQL dans FUEL CMS (CVE-2020-17463), qui ont tous été révélés cette année.

Il vaut la peine de noter que Teinte, une nouvelle variante du botnet Mirai, a été observée en octobre en utilisant deux vulnérabilités zero-day du routeur Tenda, dont CVE-2020-10987, pour propager un cheval de Troie d’accès à distance (RAT) capable de mener des attaques par déni de service, exécuter commandes malveillantes et implémentez un shell inversé pour l’accès à distance.

Outre l’installation de X10-unix et du logiciel d’extraction de crypto Monero sur la machine, le logiciel malveillant ouvre également une porte dérobée à l’écoute sur les ports 30004 et 30006, télécharge l’adresse IP externe de la victime sur une pâte Pastebin privée et tente de se connecter aux connexions Android Debug Bridge. sur le port 5555.

Sur une connexion réussie, il procède au téléchargement d’un fichier APK Android (« weixin.apk ») qui installe finalement une version CPU ARM de X10-unix.

En tout, au moins 100 hôtes distincts ont été repérés en train de propager l’infection, selon les estimations de Juniper.

Il est possible d’accéder à l’ensemble complet de binaires malveillants et d’autres indicateurs de compromis (IoC) associés à la campagne ici.

Rate this post
Publicité
Article précédentLe secret le moins gardé a finalement été en quelque sorte révélé
Article suivantSoccer-Arteta accepte l’entière responsabilité de la mauvaise forme d’Arsenal
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici