Posté le décembre 20, 2022 à 8:51

LES SERVEURS MINECRAFT SONT LA CIBLE D’UN BOTNET MULTIPLATEFORME QUI POURRAIT FACILITER LES ATTAQUES DDOS

Un botnet multiplateforme a été détecté, qui pourrait mener une attaque par déni de service distribué (DDoS) contre des serveurs Minecraft privés. Le botnet a été signalé par Microsoft la semaine dernière.

Les serveurs Minecraft sont la cible d’un botnet multiplateforme

Le botnet en question est baptisé MCCrash. Le bot dispose d’un mécanisme de propagation unique qui lui permet de cibler des appareils Linux, bien que l’attaque provienne de téléchargements de logiciels malveillants situés sur des hôtes Windows.

Microsoft a publié un rapport indiquant que le botnet s’est propagé sur plusieurs appareils en se présentant avec des identifiants d’appareils par défaut. En outre, les appareils les plus vulnérables étaient ceux qui utilisaient des systèmes de l’internet des objets (IoT), car ils étaient moins sûrs.

« Le botnet se propage en énumérant les informations d’identification par défaut sur les appareils Secure Shell (SSH) exposés à Internet. Comme les appareils IoT sont généralement activés pour la configuration à distance avec des paramètres potentiellement non sécurisés, ces appareils pourraient être exposés à des attaques comme ce botnet », a déclaré la société.

Le mode de fonctionnement de ce logiciel malveillant signifie également qu’il pourrait exister sur les appareils IoT. Le logiciel malveillant peut y subsister malgré sa suppression du PC infecté. La division de la cybersécurité de Microsoft analyse toujours ce logiciel malveillant et suit actuellement les activités du logiciel malveillant sous le nom émergent de DEV-1028.

La cible principale du logiciel malveillant semble être la Russie, car la plupart des infections ont été signalées dans ce pays. Les autres pays où des infections ont également été signalées sont le Belarus, le Cameroun, la Colombie, l’Inde, l’Indonésie, l’Italie, le Mexique, le Nigeria, l’Ukraine, l’Ouzbékistan et la République Tchèque.

Le géant technologique n’a pas révélé l’ampleur de la campagne malveillante. Toutefois, compte tenu des groupes cibles où la majorité des infections ont été détectées, il est inévitable que les attaques se soient concentrées sur des gouvernements et d’autres institutions, et l’objectif pourrait être un ransomware ou d’autres types d’activités malveillantes.

Le géant technologique n’a pas révélé l’ampleur de la campagne malveillante. Toutefois, compte tenu des groupes cibles où la majorité des infections ont été détectées, il est inévitable que les attaques se soient concentrées sur des gouvernements et d’autres institutions, et l’objectif pourrait être un ransomware ou d’autres types d’activités malveillantes.

Le point d’infection initial utilisé par le botnet comprenait plusieurs machines qui avaient été compromises. La compromission a eu lieu après l’installation d’outils de craquage sur la machine, ce qui a permis aux acteurs de la menace d’accéder à des licences Windows illégales.

Le logiciel malveillant était également utilisé comme canal pour exécuter une charge utile Python. Il contenait certaines des principales fonctionnalités de ce botnet, comme l’analyse des périphériques Linux qui ont été activés en SSH. Une fois cette opération effectuée, les acteurs de la menace pouvaient mener une attaque par dictionnaire sur la victime visée.

L’autre méthode utilisée par les hackers pour mener leur campagne malveillante est la propagation. La même charge utile Python est utilisée avec la méthode de propagation pour exécuter des commandes DDoS sur le dispositif infecté. L’une de ces charges utiles a également été explicitement utilisée pour faire planter les serveurs Minecraft.

Selon Microsoft, les acteurs de la menace à l’origine de cette campagne malveillante étaient sophistiqués car ils utilisaient des méthodes efficaces. Cependant, ils ont noté que les acteurs de la menace auraient pu agir pour le compte d’un autre individu malveillant, notant qu’il était très probable que cette méthode soit fournie en tant que service sur des plateformes clandestines.

Les chercheurs qui ont mis au jour cette campagne sont David Atch, Maayan Shaul, Mae Dotan, Yuval Gordon et Ross Bevington. Ils ont noté que le type de menace posé par ces acteurs malveillants montrait que les organisations devaient avoir à cœur de gérer et de s’assurer que leurs terminaux traditionnels et leurs appareils IoT sont à jour.

Les chercheurs ont en outre noté la nécessité de surveiller les appareils IoT, car ils étaient pour la plupart régulièrement moins sécurisés. Ces appareils ont été la cible d’acteurs malveillants cherchant à lancer de multiples campagnes, telles que des attaques DDoS.

Les attaques par force brute sont en augmentation

Ce n’est pas la première fois que des recherches font état de résultats similaires. Cette recherche intervient quelques jours après qu’un autre rapport de Fortinet FortiGuard Labs ait révélé les détails d’un nouveau botnet connu sous le nom de GoTrim. Ce botnet avait été détecté en train de mener des attaques par force brute sur des sites Web auto-hébergés utilisant WordPress.

La campagne malveillante active a été détectée depuis septembre 2022. La campagne utilise un réseau de robots pour mener des attaques par force brute distribuées tout en tentant de se connecter au serveur du site Web ciblé.

Une fois que les acteurs de la menace ont obtenu l’accès, l’opérateur a installé un script PHP de téléchargement sur l’hôte nouvellement compromis. Le script PHP exécute le « client bot » à partir d’une URL codée en dur, ce qui fait de la machine un ajout au réseau en pleine expansion.

« Les campagnes de forçage brutal sont dangereuses car elles peuvent conduire à la compromission du serveur et au déploiement de logiciels malveillants. Pour atténuer ce risque, les administrateurs de sites Web doivent s’assurer que les comptes d’utilisateurs (en particulier les comptes d’administrateurs) utilisent des mots de passe forts », ont déclaré les chercheurs.