Posté le mars 22, 2023 à 5:19
UN LOGICIEL MALVEILLANT CIBLE LES SERVEURS SSH LINUX MAL GÉRÉS
Les serveurs SSH Linux mal gérés sont désormais la cible d’une nouvelle campagne de piratage. Cette campagne de piratage déploie désormais plusieurs variantes du logiciel malveillant connu sous le nom de ShellBot.
Un logiciel malveillant cible les serveurs SSH Linux mal gérés
Le centre d’intervention d’urgence en matière de sécurité d’AhnLab (ASEC) a publié un rapport indiquant que le ShellBot est utilisé pour lancer des attaques par déni de service distribué (DDoS). Le ShellBot, également connu sous le nom de PerlBot, a été écrit en Perl.
Il utilise également le protocole IRC pour communiquer avec le serveur C&C. Le ShellBot a été installé sur de nombreux serveurs qui ne disposent pas d’informations d’identification solides permettant de préserver leur sécurité et de s’assurer que les acteurs de la menace ne peuvent pas infiltrer les systèmes.
Plusieurs informations d’identification SSH sont utilisées pour lancer une attaque par dictionnaire visant à ouvrir une brèche dans le serveur. Les informations d’identification sont ensuite utilisées pour déployer la charge utile. Les acteurs de la menace utilisent ensuite le protocole Internet Relay Chat (IRC) pour communiquer à l’aide d’un serveur distant.
« Le bot IRC installé sur le système infecté accède au canal d’un serveur IRC désigné par l’acteur de la menace conformément au protocole IRC, après quoi il transmet les informations volées au canal spécifié, ou lorsque l’attaquant saisit une chaîne particulière, il la reçoit comme une commande et exécute le comportement malveillant correspondant », indique le rapport.
Le comportement malveillant consiste aussi pour les hackers à émettre des commandes qui permettront au ShellBot de mener des attaques DDoS. Le hacker exfiltre également les informations volées aux victimes ciblées.
Selon l’ASEC, trois versions multiples de ShellBot ont été identifiées dans ce cas d’activité malveillante. Ces versions comprennent LiGHT’s Model perlbot v2, DDoS PBot v2.0, et PowerBots (C) Gohack. Les deux premières versions fournissent une variété de commandes d’attaques DDoS qui utilisent les protocoles HTTP, TCP et UDP.
Les PowerBots sont dotés de fonctionnalités de type backdoor accrues qui permettent d’accéder à un reverse shell. Les PowerBots peuvent également télécharger des fichiers arbitraires à partir de l’hôte compromis. Ce rapport intervient environ trois mois après que ShellBot a été utilisé pour mener des attaques de piratage ciblant des serveurs Linux.
Le logiciel malveillant en question est en outre utilisé pour miner des cryptomonnaies à partir de l’appareil de la victime, sans l’approbation ou la connaissance de ceux qui minent ces cryptomonnaies. Le logiciel malveillant est distribué à l’aide de mineurs de cryptomonnaies par le biais d’un compilateur de scripts shell.
Le rapport de l’ASEC indique que si le ShellBot a été installé, les serveurs Linux seront utilisés comme bots pour mener une campagne DDoS. Les attaques DDoS affectent généralement des cibles spécifiques après avoir reçu une commande du hacker.
L’ASEC a ajouté que l’acteur de la menace aurait également pu utiliser plusieurs fonctionnalités de portes dérobées pour installer des logiciels malveillants supplémentaires sur l’appareil cible. Le logiciel malveillant aurait aussi pu être utilisé pour lancer de multiples attaques provenant du serveur compromis.
L’ASEC a ajouté que l’acteur de la menace aurait également pu utiliser plusieurs fonctionnalités de portes dérobées pour installer des logiciels malveillants supplémentaires sur l’appareil cible. Le logiciel malveillant aurait aussi pu être utilisé pour lancer de multiples attaques provenant du serveur compromis.
Microsoft signale une augmentation des attaques DDoS
Le rapport de l’ASEC intervient après que Microsoft a fait état d’une augmentation significative des attaques DDoS visant les établissements de soins de santé qui utilisent les services Azure. Le nombre d’attaques visant ces institutions a augmenté de manière significative, passant de 10 à 20 attaques en novembre de l’année dernière à 40 à 60 attaques en février de cette année.
Un avis de l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a mis en garde les organisations contre l’augmentation des attaques de piratage informatique. La CISA s’est même associée au FBI pour proposer aux organisations une stratégie de réponse qui les aidera à éviter et à atténuer ces attaques si elles se produisent.
Les autorités Américaines ont pointé du doigt le groupe de hackers KillNet. KillNet est un groupe de hackers pro-Russe qui lance des attaques informatiques visant les pays occidentaux. Le groupe de hackers a également ciblé des entreprises, des gouvernements et le secteur de la santé. Le ministère Américain de la santé et des services sociaux (DHHS) a également publié une note d’analyse sur la menace que représente KillNet pour le secteur de la santé.
Le groupe de hackers KillNet s’appuie sur des attaques DDoS pour mener ses campagnes de piratage. Les campagnes DDoS sont faciles à lancer et constituent une stratégie peu coûteuse pour perturber les services en ligne et les sites web. Leur efficacité en fait une stratégie de piratage privilégiée par les groupes de hackers. En outre, les attaques DDoS peuvent également être lancées de manière anonyme, ce qui les rend difficiles à surveiller.
Le rapport de Microsoft ajoute que « en utilisant des scripts DDoS et des facteurs de stress, en mobilisant des botnets et en utilisant des sources d’attaque usurpées, KillNet pouvait facilement perturber la présence en ligne de sites web et d’applications. KillNet a tenté d’échapper aux stratégies d’atténuation des attaques DDoS en modifiant ses vecteurs d’attaque, notamment en utilisant différentes techniques d’attaque de couche 4 et de couche 7 et en augmentant le nombre de sources participant à la campagne d’attaque ».
