Une campagne active de logiciels malveillants exploite deux vulnérabilités Zero Day avec une fonctionnalité d’exécution de code à distance (RCE) pour intégrer des routeurs et des enregistreurs vidéo dans un botnet de déni de service distribué (DDoS) basé sur Mirai.
« La charge utile cible les routeurs et les appareils enregistreurs vidéo sur réseau (NVR) avec des informations d’identification d’administrateur par défaut et installe les variantes Mirai en cas de succès », Akamai dit dans un avis publié cette semaine.
Les détails des failles sont actuellement secrets pour permettre aux deux fournisseurs de publier des correctifs et empêcher d’autres acteurs malveillants d’en abuser. Les correctifs pour l’une des vulnérabilités devraient être expédiés le mois prochain.
Les attaques ont été découvertes pour la première fois par la société d’infrastructure Web et de sécurité contre ses honeypots fin octobre 2023. Les auteurs des attaques n’ont pas encore été identifiés.
Le botnet, qui a été nommé InfectedSlurs en raison de l’utilisation d’un langage raciste et offensant dans les serveurs de commande et de contrôle (C2) et de chaînes codées en dur, est un Variante du malware JenX Mirai qui a été révélé en janvier 2018.
Akamai a déclaré avoir également identifié d’autres échantillons de logiciels malveillants qui semblaient être liés à la variante hailBot Mirai, cette dernière étant apparue en septembre 2023, selon une analyse récente de NSFOCUS.
« HailBot est développé sur la base du code source de Mirai et son nom est dérivé de la chaîne d’informations » Hail China Mainland « sortie après son exécution », a déclaré la société de cybersécurité basée à Pékin. notédétaillant sa capacité à se propager via l’exploitation de vulnérabilités et des mots de passe faibles.
Le développement intervient alors qu’Akamai détaillé un shell Web appelé wso-ng, une « itération avancée » de WSO (abréviation de « web shell by oRb ») qui s’intègre à des outils légitimes comme VirusTotal et SecurityTrails tout en dissimulant furtivement son interface de connexion derrière une page d’erreur 404 lors d’une tentative d’y accéder .
L’une des capacités de reconnaissance notables du shell Web consiste à récupérer les métadonnées AWS pour un mouvement latéral ultérieur ainsi qu’à rechercher des connexions potentielles à la base de données Redis afin d’obtenir un accès non autorisé aux données d’application sensibles.
« Les shells Web permettent aux attaquants d’exécuter des commandes sur les serveurs pour voler des données ou d’utiliser le serveur comme rampe de lancement pour d’autres activités comme le vol d’informations d’identification, les mouvements latéraux, le déploiement de charges utiles supplémentaires ou l’activité manuelle sur le clavier, tout en permettant aux attaquants de persister. une organisation concernée », Microsoft dit de retour en 2021.
L’utilisation de web shells disponibles dans le commerce est également considérée comme une tentative par les acteurs de la menace de contester les efforts d’attribution et de passer inaperçus, une caractéristique clé des groupes de cyberespionnage spécialisés dans la collecte de renseignements.
Une autre tactique courante adoptée par les attaquants consiste à utiliser des domaines compromis mais légitimes à des fins C2 et pour la distribution de logiciels malveillants.
En août 2023, Infoblox a divulgué un attaque généralisée impliquant des sites Web WordPress compromis qui redirigent sous condition les visiteurs vers des domaines intermédiaires C2 et DDGA (Dictionary Domain Generation Algorithme). Le activité a été attribué à un acteur menaçant nommé VexTrio.