La faille de sécurité critique récemment révélée affectant Apache ActiveMQ est activement exploitée par les acteurs malveillants pour distribuer un nouveau botnet basé sur Go appelé AllerTitan ainsi qu’un programme .NET connu sous le nom de PrCtrl Rat capable de réquisitionner à distance les hôtes infectés.
Les attaques impliquent l’exploitation d’un bug d’exécution de code à distance (CVE-2023-46604, score CVSS : 10,0) qui a été utilisé par diverses équipes de piratage informatique, dont le groupe Lazarus, ces dernières semaines.
Après une violation réussie, il a été observé que les auteurs de la menace abandonnaient les charges utiles de l’étape suivante depuis un serveur distant, dont GoTitan, un botnet conçu pour orchestrer des attaques par déni de service distribué (DDoS) via des protocoles tels que HTTP, UDP. , TCP et TLS.
« L’attaquant ne fournit que des binaires pour les architectures x64, et le malware effectue certaines vérifications avant de s’exécuter », a déclaré Cara Lin, chercheuse chez Fortinet Fortiguard Labs. dit dans une analyse de mardi.
« Il crée également un fichier nommé ‘c.log’ qui enregistre le temps d’exécution et l’état du programme. Ce fichier semble être un journal de débogage pour le développeur, ce qui suggère que GoTitan en est encore à un stade précoce de développement. »
Fortinet a déclaré avoir également observé des cas où les serveurs Apache ActiveMQ sensibles sont ciblés pour déployer un autre botnet DDoS appelé Ddostf, un malware Kinsing pour le cryptojacking et un cadre de commande et de contrôle (C2) nommé Sliver.
Un autre malware notable diffusé est un cheval de Troie d’accès à distance baptisé PrCtrl Rat qui établit un contact avec un serveur C2 pour recevoir des commandes supplémentaires à exécuter sur le système, récolter des fichiers et télécharger et télécharger des fichiers depuis et vers le serveur.
« Au moment d’écrire ces lignes, nous n’avons encore reçu aucun message du serveur, et le motif derrière la diffusion de cet outil reste flou », a déclaré Lin. « Cependant, une fois qu’il infiltre l’environnement d’un utilisateur, le serveur distant prend le contrôle du système. »