Botnet

Des chercheurs en cybersécurité ont révélé lundi une nouvelle vague d’attaques en cours exploitant plusieurs vulnérabilités pour déployer des variantes de Mirai sur des systèmes compromis.

« Une fois l’exploitation réussie, les attaquants tentent de télécharger un script shell malveillant, qui contient d’autres comportements d’infection tels que le téléchargement et l’exécution de variantes de Mirai et de brutaux », « Unit 42 Threat Intelligence Team de Palo Alto Networks mentionné dans un article.

La série de vulnérabilités exploitées comprend:

  • VisualDoor – une vulnérabilité d’injection de commande à distance SonicWall SSL-VPN qui a été découverte plus tôt en janvier
  • CVE-2020-25506 – une vulnérabilité d’exécution de code à distance (RCE) du pare-feu DNS-320 D-Link
  • CVE-2021-27561 et CVE-2021-27562 – Deux vulnérabilités dans Yealink Device Management qui permettent à un attaquant non authentifié d’exécuter des commandes arbitraires sur le serveur avec les privilèges root
  • CVE-2021-22502 – une faille RCE dans Micro Focus Operation Bridge Reporter (OBR), affectant la version 10.40
  • CVE-2019-19356 – un exploit RCE du routeur sans fil Netis WF2419, et
  • CVE-2020-26919 – une vulnérabilité Netgear ProSAFE Plus RCE

Sont également inclus dans le mélange trois vulnérabilités d’injection de commande précédemment non divulguées qui ont été déployées contre des cibles inconnues, dont l’une, selon les chercheurs, a été observée en conjonction avec MooBot.

Les attaques auraient été détectées sur une période d’un mois allant du 16 février au 13 mars.

Publicité

Indépendamment des failles utilisées pour réussir l’exploitation, la chaîne d’attaque implique l’utilisation de l’utilitaire wget pour télécharger un script shell à partir de l’infrastructure du malware qui est ensuite utilisée pour récupérer Mirai binaires, un malware notoire qui transforme les appareils IoT en réseau exécutant Linux en robots contrôlés à distance pouvant être utilisés dans le cadre d’un botnet lors d’attaques réseau à grande échelle.

Outre le téléchargement de Mirai, des scripts shell supplémentaires ont été repérés en train de récupérer des exécutables pour faciliter les attaques par force brute pour pénétrer dans des appareils vulnérables avec des mots de passe faibles.

« Le domaine de l’IoT reste une cible facilement accessible pour les attaquants. De nombreuses vulnérabilités sont très faciles à exploiter et pourraient, dans certains cas, avoir des conséquences catastrophiques », a déclaré le chercheur.

Le nouveau botnet ZHtrap piège les victimes à l’aide d’un pot de miel

Dans le cadre d’un développement connexe, des chercheurs de la société de sécurité chinoise Netlab 360 ont découvert un nouveau botnet basé sur Mirai appelé ZHtrap qui utilise un pot de miel pour récolter des victimes supplémentaires, tout en empruntant certaines fonctionnalités à un botnet DDoS appelé Matryosh.

Botnet Malwar

Alors que les pots de miel imitent généralement une cible pour les cybercriminels afin de tirer parti de leurs tentatives d’intrusion pour glaner plus d’informations sur leur modus operandi, le botnet ZHtrap utilise une technique similaire en intégrant un module d’analyse de collecte d’IP pour collecter les adresses IP qui sont utilisées comme cibles. pour une propagation semblable à un ver.

Il y parvient en écoutant sur 23 ports désignés et en identifiant les adresses IP qui se connectent à ces ports, puis en utilisant les adresses IP accumulées pour les inspecter à la recherche de quatre vulnérabilités afin d’injecter la charge utile –

« La propagation de ZHtrap utilise quatre vulnérabilités de N jours, la fonction principale est DDoS et l’analyse, tout en intégrant certaines fonctionnalités de porte dérobée », les chercheurs mentionné. « Zhtrap configure un pot de miel sur l’appareil infecté, [and] prend des instantanés pour les appareils victimes et désactive l’exécution de nouvelles commandes basées sur l’instantané, obtenant ainsi l’exclusivité sur l’appareil. « 

Botnet Malware

Une fois qu’il a pris en charge les appareils, ZHtrap s’inspire du botnet Matryosh en utilisant Tor pour les communications avec un serveur de commande et de contrôle afin de télécharger et d’exécuter des charges utiles supplémentaires.

Notant que les attaques ont commencé à partir du 28 février 2021, les chercheurs ont déclaré que la capacité de ZHtrap à transformer les appareils infectés en pots de miel marque une évolution «intéressante» des botnets pour faciliter la recherche de plus de cibles.

«De nombreux botnets implémentent une propagation de scan de type ver, et lorsque le port du pot de miel de ZHtrap est accédé, sa source est très probablement un appareil qui a été infecté par un autre botnet», ont spéculé les chercheurs sur les auteurs du malware. « Cet appareil peut être infecté, il doit y avoir des défauts, je peux utiliser mon mécanisme de scan pour scanner à nouveau. Cela pourrait être une bonne chance pour que je puisse implanter mes échantillons de bot, puis avec la fonction de contrôle de processus, je peux avoir un contrôle total, n’est-ce pas génial? « 

Rate this post
Publicité
Article précédentJetez un œil à la pédale de jeu à 600 $ de MSI
Article suivantLa deuxième vidéo promotionnelle d’Anime ‘Don’t Toy with Me, Miss Nagatoro’ dévoile la première du 10 avril – News
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici