Une nouvelle variante du célèbre botnet Mirai a été découverte en exploitant plusieurs vulnérabilités de sécurité pour se propager aux appareils Linux et IoT.
Observée durant le second semestre 2022, la nouvelle version a été baptisée V3G4 par Palo Alto Networks Unit 42, qui a identifié trois campagnes différentes probablement menées par le même acteur de la menace.
« Une fois que les appareils vulnérables sont compromis, ils seront entièrement contrôlés par les attaquants et feront partie du botnet », ont déclaré les chercheurs de l’Unité 42. a dit. « L’auteur de la menace a la capacité d’utiliser ces appareils pour mener d’autres attaques, telles que des attaques par déni de service distribué (DDoS) ».
Les attaques ciblent principalement les serveurs exposés et les périphériques réseau exécutant Linux, l’adversaire militarisant jusqu’à 13 failles pouvant conduire à l’exécution de code à distance (RCE).
Certaines des failles notables concernent des failles critiques dans Atlassian Confluence Server and Data Center, les routeurs DrayTek Vigor, Airspan AirSpot et les caméras IP Geutebruck, entre autres. Le défaut le plus ancien de la liste est CVE-2012-4869un bogue RCE dans FreePBX.
Suite à une compromission réussie, la charge utile du botnet est récupérée à partir d’un serveur distant à l’aide du wget et boucle utilitaires.
Le botnet, en plus de vérifier s’il est déjà en cours d’exécution sur la machine infectée, prend également des mesures pour mettre fin à d’autres botnets concurrents tels que Mozi, Okami et Yakuza.
V3G4 contient en outre un ensemble d’identifiants de connexion par défaut ou faibles qu’il utilise pour mener des attaques par force brute via Telnet/SSH et proliférer sur d’autres machines.
Il établit également un contact avec un serveur de commande et de contrôle pour attendre les commandes de lancement d’attaques DDoS contre des cibles via les protocoles UDP, TCP et HTTP.
« Les vulnérabilités mentionnées ci-dessus ont moins de complexité d’attaque que les variantes précédemment observées, mais elles maintiennent un impact critique sur la sécurité qui peut conduire à l’exécution de code à distance », ont déclaré les chercheurs.
Pour éviter de telles attaques, il est recommandé aux utilisateurs d’appliquer les correctifs et les mises à jour nécessaires au fur et à mesure qu’ils deviennent applicables, et de sécuriser les appareils avec des mots de passe forts.