Robot Nécro Python

De nouvelles mises à niveau ont été apportées à un “bot polymorphe auto-réplicable” basé sur Python appelé Necro dans ce qui est considéré comme une tentative d’améliorer ses chances d’infecter les systèmes vulnérables et d’échapper à la détection.

“Bien que le bot ait été découvert à l’origine plus tôt cette année, la dernière activité montre de nombreux changements au bot, allant de différentes communications de commande et de contrôle (C2) à l’ajout de nouveaux exploits pour la propagation, notamment des vulnérabilités dans VMWare vSphere, SCO OpenServer, Vesta Control Panel et exploits basés sur SMB qui n’étaient pas présents dans les précédentes itérations du code”, chercheurs de Cisco Talos mentionné dans une plongée profonde publiée aujourd’hui.

vérificateur de mots de passe

Dit être en développement dès 2015, Nécro (alias N3Cr0m0rPh) cible à la fois les appareils Linux et Windows, avec une activité accrue observée au début de l’année dans le cadre d’une campagne de logiciels malveillants baptisée “FreakOut” qui a été trouvée en train d’exploiter vulnérabilités dans les périphériques de stockage en réseau (NAS) exécutés sur Machines Linux pour coopter les machines dans un botnet pour lancer des attaques par déni de service distribué (DDoS) et extraire la crypto-monnaie Monero.

En plus de ses fonctionnalités de type DDoS et RAT pour télécharger et lancer des charges utiles supplémentaires, Necro est conçu pour être furtif en installant un rootkit qui masque sa présence sur le système. De plus, le bot injecte également du code malveillant pour récupérer et exécuter un mineur basé sur JavaScript à partir d’un serveur distant dans des fichiers HTML et PHP sur des systèmes infectés.

Robot Nécro Python

Alors que les versions précédentes du malware exploitaient des failles dans Liferay Portal, Laminas Project et TerraMaster, les dernières variantes observées les 11 et 18 mai présentent des exploits d’injection de commandes ciblant le panneau de configuration Vesta, ZeroShell 3.9.0, SCO OpenServer 5.0.7, ainsi que une faille d’exécution de code à distance affectant VMWare vCenter (CVE-2021-21972) qui a été corrigée par la société en février.

Une version du botnet, publiée le 18 mai, inclut également des exploits pour EternalBlue (CVE-2017-0144) et ÉternelleRomance (CVE-2017-0145), qui abusent tous deux d’une vulnérabilité d’exécution de code à distance dans le protocole Windows SMB. Ces nouveaux ajouts servent à souligner que l’auteur du malware développe activement de nouvelles méthodes de propagation en tirant parti des vulnérabilités divulguées publiquement.

A noter également l’incorporation d’un moteur polymorphe de muter son code source à chaque itération tout en gardant l’algorithme d’origine intact dans une tentative « rudimentaire » de limiter les chances d’être détecté.

“Le bot Necro Python montre un acteur qui suit les derniers développements en matière d’exploits d’exécution de commandes à distance sur diverses applications Web et inclut les nouveaux exploits dans le bot”, ont déclaré les chercheurs de Talos. “Cela augmente ses chances de propagation et d’infection des systèmes. Les utilisateurs doivent s’assurer d’appliquer régulièrement les dernières mises à jour de sécurité à toutes les applications, pas seulement aux systèmes d’exploitation.”



Leave a Reply