LES SERVEURS LINUX MIS EN DANGER PAR UN NOUVEAU MALICIEL DE MINAGE DE CRYPTO-MONNAIE.

Posté le février 6, 2019 à 18:40

LES SERVEURS LINUX MIS EN DANGER PAR UN NOUVEAU MALICIEL DE MINAGE DE CRYPTO-MONNAIE.

Selon le nouveau rapport publié par les chercheurs en sécurité de Check Point, une nouvelle campagne de logiciels malveillants semble cibler les serveurs Linux dans de nombreux pays d’Amérique du Sud et d’Asie. Le journal, publié lundi, appelle la campagne  » SpeakUp « , en référence à l’un des noms de commandement et de contrôle. Jusqu’à présent, la menace a utilisé des vulnérabilités pour infiltrer au moins six distributeurs Linux, bien que les chercheurs disent qu’elle met également en danger ceux de macOS.

Comme c’est souvent le cas avec les nouvelles menaces, le malveillant a réussi à éviter d’être détecté par un logiciel anti-virus. Au lieu de cela, il installe une porte dérobée qui peut être utilisée ultérieurement pour un accès ultérieur. Les chercheurs estiment que l’opération SpeakUp a réussi à toucher plus de 70 000 serveurs dans le monde.

Jusqu’à présent, la raison pour laquelle ceux qui sont derrière le piratage se servant des serveurs piratés est de déployer un logiciel de minage de crypto-monnaie. Les hackers semblent se concentrer sur Monero (XMR), qui est généralement la pièce de monnaie que les hackers décident de poursuivre dans des opérations de piratage similaires. Les chercheurs ont réussi à retracer le portefeuille qui a reçu les pièces de monnaie extraites, et ils ont découvert que les hackers ont déjà réussi à extraire 107 XMR. Le montant est égal à environ 4 600 $.

Les tentatives de Check Point pour déterminer qui est derrière les attaques n’ont pas été couronnées de succès jusqu’à présent, bien que les chercheurs pensent qu’un groupe de hackers russes appelé Zettabit pourrait être derrière la campagne. Il n’y a pas encore de preuves solides qui soutiennent cette théorie, et SpeakUp est mis en œuvre d’une manière différente que les logiciels malveillants précédents du groupe. Cependant, il y a aussi de multiples similitudes qui font penser qu’il s’agit de Zettabit.

Que fait SpeakUp ?

Comme nous l’avons mentionné, les hackers utilisent une faille récemment corrigée dans le framework ThinkPHP pour accéder à des serveurs non protégés. Après cela, ils installent SpeakUp, un cheval de Troie qui utilise actuellement les serveurs piratés pour le minage de crypto-monnaie. En même temps, il utilise un script Python intégré pour continuer à se propager et infecter les réseaux via des attaques de force.

Il peut également analyser les réseaux externes et internes et trouver de nouvelles failles à exploiter, exécuter des commandes shell, télécharger de nouveaux fichiers depuis le serveur C&C, se mettre à jour, ou même se désinstaller si nécessaire pour une raison quelconque.

Pendant qu’il est opérationnel, SpeakUp contactera le serveur C&C toutes les trois secondes et demandera de nouvelles commandes. Les chercheurs affirment qu’il est également capable d’exécuter trois commandes – notask, newtask ou newerconfig.

 Plus dangereux qu’il n’y paraît

Bien qu’il ne soit pas facile de réussir à percer 70 000 serveurs, la menace n’a pas fait grand-chose, si ce n’est de s’étendre davantage et d’extraire un peu plus de 100 pièces de monnaie numériques. Cependant, ses méthodes d’infection, ses charges utiles obscures, ses techniques de propagation, etc. font qu’il est beaucoup plus dangereux pour les hackers informatiques de décider de changer l’objectif du malveillant.

Check Point avertit que le payload du logiciel malveillant peut être commutée vers un code plus nuisible avec une relative facilité. Il n’est pas encore clair ce que le changement pourrait inclure ou comment le malveillant pourrait commencer à se comporter, mais les chercheurs conviennent que les préparatifs minutieux qui ont été faits jusqu’ici sont le travail d’une menace beaucoup plus grande qui doit encore arriver. L’effort consacré à la campagne est beaucoup trop important pour n’utiliser SpeakUp que pour l’exploration cryptographique, tout en conservant la possibilité de déployer des payloads supplémentaires.

Pendant ce temps, si ThinkPHP est utilisé dans des pays comme la Chine ou le Brésil, il est également utilisé aux États-Unis. Cependant, il n’y a pas encore eu de cas où ce logiciel malveillant a infecté des serveurs basés aux États-Unis, bien que les chercheurs pensent que ce ne sera peut-être qu’une question de temps avant que cela ne se produise.

Summary
LES SERVEURS LINUX MIS EN DANGER PAR UN NOUVEAU MALICIEL DE MINAGE DE CRYPTO-MONNAIE.
Article Name
LES SERVEURS LINUX MIS EN DANGER PAR UN NOUVEAU MALICIEL DE MINAGE DE CRYPTO-MONNAIE.
Description
Selon le nouveau rapport publié par les chercheurs en sécurité de Check Point, une nouvelle campagne de logiciels malveillants semble cibler les serveurs Linux dans de nombreux pays d'Amérique du Sud et d'Asie.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading