Une version mise à jour d’un malware botnet appelé KmsdBot cible désormais les appareils Internet des objets (IoT), élargissant simultanément ses capacités et sa surface d’attaque.
« Le binaire inclut désormais le support de Analyse Telnet et la prise en charge d’un plus grand nombre d’architectures de processeur », Larry W. Cashdollar, chercheur en sécurité chez Akamai. dit dans une analyse publiée ce mois-ci.
La dernière itération, observée depuis le 16 juillet 2023, intervient des mois après qu’il est apparu que le botnet était proposé en tant que service DDoS à louer à d’autres acteurs malveillants. Le fait qu’il soit activement maintenu indique son efficacité dans les attaques réelles.
KmsdBot a été documenté pour la première fois par la société d’infrastructure et de sécurité Web en novembre 2022. Il est principalement conçu pour cibler les serveurs de jeux privés et les fournisseurs d’hébergement cloud, bien qu’il ait depuis jeté son dévolu sur certains sites gouvernementaux roumains et éducatifs espagnols.
Le malware est conçu pour analyser des adresses IP aléatoires à la recherche de ports SSH ouverts et forcer brutalement le système avec une liste de mots de passe téléchargée à partir d’un serveur contrôlé par un acteur. Les nouvelles mises à jour intègrent l’analyse Telnet et lui permettent de couvrir davantage d’architectures de processeur que l’on trouve couramment dans les appareils IoT.
« Comme le scanner SSH, le scanner Telnet appelle une fonction qui génère une adresse IP aléatoire », a expliqué Cashdollar. « Ensuite, il tente de se connecter au port 23 sur cette adresse IP. Le scanner Telnet ne s’arrête pas à une simple décision d’écoute ou de non-écoute du port 23, mais il vérifie que le tampon de réception contient des données. »
L’attaque contre Telnet est réalisée en téléchargeant un fichier texte (telnet.txt) contenant une liste de mots de passe faibles couramment utilisés et leurs combinaisons pour un large éventail d’applications, profitant principalement du fait que de nombreux appareils IoT ont leurs informations d’identification par défaut inchangées. .
« Les activités en cours de la campagne de malware KmsdBot indiquent que les appareils IoT restent répandus et vulnérables sur Internet, ce qui en fait des cibles attractives pour construire un réseau de systèmes infectés », a déclaré Cashdollar.
« D’un point de vue technique, l’ajout de capacités d’analyse Telnet suggère une expansion de la surface d’attaque du botnet, lui permettant de cibler un plus large éventail d’appareils. De plus, à mesure que le malware évolue et prend en charge davantage d’architectures de processeur, il constitue une menace permanente. à la sécurité des appareils connectés à Internet.