Posté le février 18, 2023 à 7:28
DES HACKERS CIBLENT DES SERVEURS BASÉS SUR LINUX EN UTILISANT UNE VARIANTE DU BOTNET MIRAI
Une variante du botnet Mirai a ciblé des serveurs basés sur Linux. La variante est suivie sous le nom de « V3G4 », qui cible 13 vulnérabilités dans les serveurs Linux et d’autres appareils de l’internet des objets (IoT). Le botnet exploite ces vulnérabilités pour lancer des campagnes de déni de service distribué (DDoS).
Des périphériques Linux visés par une variante du logiciel malveillant Mirai
L’acteur de la menace propage ce logiciel malveillant par le biais d’attaques par force brute déployées sur des informations d’identification telnet ou SSH faibles ou par défaut. Les attaquants exploitent ensuite les failles codées en dur pour l’exécution de code à distance sur les appareils ciblés. Une fois que le hacker a réussi à lancer l’attaque, le logiciel malveillant infecte l’appareil avant d’être recruté dans le réseau de botnet.
Ce logiciel malveillant a été détecté dans trois campagnes de piratage. Ces campagnes ont été signalées par les chercheurs de Palo Alto Networks (unité 42), qui ont déclaré avoir surveillé les activités malveillantes entre juillet et décembre 2022.
Selon les chercheurs, les trois campagnes de piratage provenaient des mêmes hackers. En effet, les domaines C2 codés en dur avaient la même chaîne et les téléchargements de scripts shell étaient également similaires. Les clients de botnet utilisés dans les trois attaques avaient des fonctionnalités similaires.
Comme indiqué précédemment, les attaques V3G4 ont exploité 13 vulnérabilités. Après que les attaquants ont compromis le dispositif ciblé, la charge utile basée sur Mirai a été déposée dans le système. Cette charge utile a tenté d’établir un lien avec l’adresse C2 codée en dur. Le botnet tente par ailleurs de mettre fin aux processus provenant d’une liste codée en dur. Cette liste comprend également d’autres familles de logiciels malveillants concurrentes du botnet.
L’une des principales caractéristiques qui différencient V3G4 de la plupart des variantes de Mirai est que ce logiciel malveillant déploie quatre types de clés de chiffrement XOR. Il utilise une stratégie différente au lieu de dépendre d’une seule. Les hackers procèdent ensuite à l’ingénierie inverse du code derrière le logiciel malveillant, ce qui rend difficile le décodage des fonctionnalités.
Ce logiciel malveillant peut facilement se propager d’un appareil à l’autre. Il le fait par le biais d’une force brute telnet ou SSH qui tente d’établir des liens par le biais d’informations d’identification faibles et par défaut. Les chercheurs qui ont découvert cet exploit ont noté que les versions antérieures de ce logiciel malveillant utilisaient le procédé de force brute telnet/SSH et exploitaient des vulnérabilités pour se propager à d’autres systèmes. Cependant, les versions ultérieures du logiciel malveillant ne dépendaient pas de l’analyseur.
Les dispositifs compromis ont émis des commandes DDoS directement à partir des serveurs C2. Ils ont également lancé leurs attaques en utilisant des méthodes d’inondation TCP, USDP, SYN et HTTP. V3G4 exploite probablement aussi une entreprise de DDoS-as-a-service. Les chercheurs ont noté qu’il était probable qu’ils vendent des services DDoS à des clients souhaitant perturber les services offerts par des sites Web et des services en ligne spécifiques.
Cependant, la variante du logiciel malveillant n’a pas été liée à un service particulier. Néanmoins, la famille de logiciels malveillants Mirai est persistante et utilisée par un grand nombre de groupes d’acteurs de la menace. Les utilisateurs doivent donc protéger leurs appareils contre les infections de type Mirai par des mesures proactives telles que la modification des mots de passe par défaut et l’installation des dernières mises à jour de sécurité.
Le botnet Medusa fonctionne comme une variante de Mirai
Dans le même ordre d’idées, des chercheurs ont récemment détecté une nouvelle version du réseau de zombies Medusa développée à partir du code Mirai, exploitée dans la nature. La nouvelle variante comporte un module de ransomware et une force brute Telnet. Medusa est une ancienne variante de logiciel malveillant annoncée dans le darknet depuis 2015. En 2017, le logiciel malveillant a été mis à niveau avec des capacités DDoS basées sur HTTP.
Selon Cyble, la nouvelle variante exploitée dans la nature est issue de la souche originale du logiciel malveillant. Il s’agit de la dernière version de ce botnet, et elle fonctionne à l’aide d’une fuite du code source du botnet Mirai. La nouvelle version est par ailleurs dotée de fonctions de ciblage de Linux et d’une option permettant de lancer des attaques DDoS de grande ampleur.
Le botnet Medusa est en outre commercialisé sous la forme d’un logiciel malveillant en tant que service (MaaS) permettant de lancer des attaques DDoS ou de remplir des fonctions de minage via un portail dédié. Ce logiciel malveillant promet la stabilité du service, la prise en charge de l’anonymat des clients et une API conviviale. Le coût du service varie également en fonction des besoins spécifiques.
Une caractéristique intéressante de ce logiciel malveillant est qu’il est également doté d’une fonction de ransomware. Cette fonction permet au logiciel malveillant d’effectuer des recherches dans tous les répertoires afin de détecter les types de fichiers valides qui peuvent être utilisés pour le cryptage. Parmi les fichiers ciblés par le logiciel malveillant figurent principalement des documents et des fichiers de conception vectorielle. La nouvelle version du botnet Medusa est également dotée d’une fonction permettant de voler les données des utilisateurs. Cependant, les données sont volées après avoir été cryptées. Il collecte des informations de base sur le système cible afin d’identifier la victime et d’évaluer les ressources qui peuvent être utilisées pour des campagnes de minage et de DDoS.
