Un nouveau malware appelé Conditions a été observé exploitant une vulnérabilité de sécurité dans les routeurs Wi-Fi TP-Link Archer AX21 (AX1800) pour lier les appareils à un botnet de déni de service distribué (DDoS).
Laboratoires Fortinet FortiGuard a dit la campagne s’est intensifiée depuis fin mai 2023. Condi est l’œuvre d’un acteur menaçant qui utilise l’alias en ligne zxcr9999 sur Telegram et gère une chaîne Telegram appelée Condi Network pour annoncer leur warez.
« La chaîne Telegram a été lancée en mai 2022, et l’acteur de la menace a monétisé son botnet en fournissant DDoS-as-a-service et en vendant le code source du malware », ont déclaré les chercheurs en sécurité Joie Salvio et Roy Tay.
Une analyse de l’artefact malveillant révèle sa capacité à mettre fin à d’autres botnets concurrents sur le même hôte. Cependant, il manque un mécanisme de persistance, ce qui signifie que le programme ne peut pas survivre à un redémarrage du système.
Pour contourner cette limitation, le logiciel malveillant supprime plusieurs fichiers binaires utilisés pour arrêter ou redémarrer le système –
- /usr/sbin/reboot
- /usr/bin/reboot
- /usr/sbin/shutdown
- /usr/bin/shutdown
- /usr/sbin/poweroff
- /usr/bin/poweroff
- /usr/sbin/halte
- /usr/bin/halte
Condi, contrairement à certains botnets qui se propagent au moyen d’attaques par force brute, exploite un module de scanner qui vérifie les appareils TP-Link Archer AX21 vulnérables et, si c’est le cas, exécute un script shell récupéré à partir d’un serveur distant pour déposer le malware.
Plus précisément, le scanner identifie les routeurs sensibles à CVE-2023-1389 (score CVSS : 8,8), un bogue d’injection de commande qui était auparavant exploité par le botnet Mirai.
Fortinet a déclaré avoir rencontré d’autres échantillons de Condi qui exploitaient plusieurs failles de sécurité connues pour la propagation, suggérant que les logiciels non corrigés risquaient d’être ciblés par des logiciels malveillants de botnet.
Mis à part les tactiques de monétisation agressives, Condi vise à piéger les appareils pour créer un puissant botnet DDoS qui peut être loué par d’autres acteurs pour orchestrer des attaques d’inondation TCP et UDP sur des sites Web et des services.
« Les campagnes de logiciels malveillants, en particulier les botnets, cherchent toujours des moyens de se développer », ont déclaré les chercheurs. « L’exploitation des vulnérabilités récemment découvertes (ou publiées) a toujours été l’une de leurs méthodes préférées. »
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Le développement intervient alors que le AhnLab Security Emergency Response Center (ASEC) a révélé que des serveurs Linux mal gérés sont piratés pour fournir des bots DDoS tels que ShellBot et Tsunami (alias Kaiten) ainsi qu’abuser furtivement des ressources pour l’extraction de crypto-monnaie.
« Le code source de Tsunami est accessible au public, il est donc utilisé par une multitude d’acteurs de la menace », ASEC a dit. « Parmi ses diverses utilisations, il est principalement utilisé dans les attaques contre les appareils IoT. Bien sûr, il est également systématiquement utilisé pour cibler les serveurs Linux. »
Les chaînes d’attaque consistent à compromettre les serveurs à l’aide d’un attaque par dictionnaire pour exécuter un script shell escroc capable de télécharger des logiciels malveillants de niveau supérieur et de maintenir un accès par porte dérobée persistant en ajoutant une clé publique au fichier .ssh/authorized_keys.
Le malware botnet Tsunami utilisé dans l’attaque est une nouvelle variante appelée Ziggy qui partage des chevauchements significatifs avec le code source d’origine. Il utilise en outre le chat de relais Internet (CRI) pour le commandement et le contrôle (C2).
Un ensemble d’outils auxiliaires est également utilisé pendant les intrusions pour l’élévation des privilèges et la modification ou l’effacement des fichiers journaux afin de dissimuler la piste et d’entraver l’analyse.
« Les administrateurs doivent utiliser des mots de passe difficiles à deviner pour leurs comptes et les modifier périodiquement pour protéger le serveur Linux des attaques par force brute et des attaques par dictionnaire et mettre à jour le dernier correctif pour empêcher les attaques de vulnérabilité », a déclaré l’ASEC.