Posté le mai 29, 2021 à 8:23
DES CHERCHEURS DÉCOUVRENT UN LOGICIEL MALVEILLANT CIBLANT LE LOGICIEL D’HÉBERGEMENT DE SERVEURS CWP
Des chercheurs en cybersécurité ont révélé qu’une nouvelle porte dérobée Facebook capable de voler les identifiants de connexion des utilisateurs a été découverte.
Selon les chercheurs, la porte dérobée vole également des informations sur les périphériques et exécute des commandes arbitraires sur les systèmes Linux.
L’équipe de Qihoo 360 NETLAB a baptisé le logiciel malveillant « Facefish » en raison de sa capacité à fournir différents rootkits à différentes occasions. Il utilise également le chiffrement Blowfish pour chiffrer les communications avec le serveur de contrôle des acteurs malveillants.
Les chercheurs ont également déclaré que Facefish possède deux modules différents, Rookit et Dropper, dont les caractéristiques principales sont déterminées par la partie Rootkit.
Selon les chercheurs, il vole également les informations d’identification des utilisateurs en exploitant les fonctions connexes du programme ssh/sshd.
Facefish utilise un algorithme sophistiqué
Les chercheurs ont également noté que le logiciel malveillant Facefish utilise un algorithme de cryptage et un protocole de communication sophistiqués, ce qui le rend encore plus difficile à détecter. Il échange des informations avec le serveur C2 en utilisant un système de cryptage difficile à détecter.
Les chercheurs ont décrit certaines des commandes transmises au logiciel malveillant par le serveur de contrôle, notamment 0x300 pour signaler des informations d’identification volées, 0x310 pour exécuter toute commande système et 0x300 pour exécuter un reverse shell.
La découverte de NETLAB provient de l’analyse d’un échantillon ELF découvert en février de cette année.
Depuis février de cette année, le hacker scrute l’internet et profite de l’exploitation d’une ancienne faille pour cibler les installations CWP.
L’objectif principal du logiciel malveillant est de recueillir des informations vitales et de voler les informations d’identification SSH de l’hôte victime.
Les chercheurs de NETLAB ont travaillé sur une première analyse du réseau Juniper publiée le 26 avril. Elle faisait état d’une chaîne d’attaque qui ciblait le Web CentOS (désormais appelé Control Web Panel). Le logiciel malveillant possède des capacités de vol de données qui injectent un implant SSH dans l’appareil ciblé.
Facefish a également été mis à niveau pour exécuter un processus d’infection en plusieurs étapes, commençant par une injection de commande contre le Control Web Panel et récupérant le dropper SSHINS sur le serveur distant.
Ensuite, il fournit un toolkit qui collecte et transmet des informations sensibles au serveur de contrôle. Il récupère également des informations supplémentaires du serveur de contrôle pour les mettre en œuvre sur le dispositif ciblé.
Les problèmes de sécurité de CWP
Bien que la vulnérabilité particulière exploitée par l’attaquant ne soit pas encore connue, plusieurs problèmes de sécurité ont affecté CWP, selon Juniper.
L’équipe de recherche a déclaré que le problème est devenu encore plus compliqué en raison de la difficulté à trouver quel CWP est susceptible d’être attaqué. Ceci, selon le chercheur, est dû au problème du « cryptage et de l’obscurcissement intentionnels ».
Le dropper exécute également sa propre mission, parmi lesquelles la configuration du rootkit, le décryptage d’un fichier de configuration pour récupérer les informations et la détection de l’environnement d’exécution. Il a également pour rôle de lancer le rootkit en le plantant dans le processus SSHD.
Les rootkits sont assez dangereux car ils donnent aux hackers un certain accès au système, ce qui leur permet d’avoir des privilèges sur des opérations importantes effectuées par le système d’exploitation ciblé.
La capacité des rootkits à se dissimuler dans le système d’exploitation offre aux acteurs malveillants un degré élevé de liberté d’action et de menace.
Une activité minime malgré des mois d’attaque
Les attaquants ont déclaré que l’attaque implique un composant rootkit rare que l’acteur malveillant a utilisé sur les serveurs Linux compromis pour échapper à la détection et maintenir la persistance.
Cependant, les chercheurs ont déclaré qu’il y a eu peu d’activité sur les serveurs compromis, malgré des mois d’attaques persistantes par les hackers.
Et contrairement à plusieurs botnets récents, l’attaquant n’a pas déployé de composant de minage de cryptomonnaies. Cela a incité Juniper à penser que les acteurs malveillants de Facefish pourraient être en train de développer un botnet qu’ils souhaitent louer ou vendre lorsqu’il sera prêt.
En outre, aucun des chercheurs (NETLAB et Juniper) n’a publié d’identifiant CVE pour la vulnérabilité exploitée. Il n’est pas clair non plus si la vulnérabilité a un CVE.
