{"id":1095132,"date":"2024-01-10T14:41:55","date_gmt":"2024-01-10T16:41:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/noabot-le-dernier-botnet-base-sur-mirai-ciblant-les-serveurs-ssh-pour-le-minage-de-cryptomonnaies\/"},"modified":"2024-01-10T14:41:58","modified_gmt":"2024-01-10T16:41:58","slug":"noabot-le-dernier-botnet-base-sur-mirai-ciblant-les-serveurs-ssh-pour-le-minage-de-cryptomonnaies","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/noabot-le-dernier-botnet-base-sur-mirai-ciblant-les-serveurs-ssh-pour-le-minage-de-cryptomonnaies\/","title":{"rendered":"NoaBot\u00a0: le dernier botnet bas\u00e9 sur Mirai ciblant les serveurs SSH pour le minage de cryptomonnaies"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du serveur \/ Crypto-monnaie<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/NoaBot-le-dernier-botnet-base-sur-Mirai-ciblant-les-serveurs.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un nouveau botnet bas\u00e9 sur Mirai appel\u00e9 <strong>NoaBot<\/strong> est utilis\u00e9 par les acteurs malveillants dans le cadre d\u2019une campagne de crypto mining depuis le d\u00e9but de 2023.<\/p>\n<p>&#8220;Les capacit\u00e9s du nouveau botnet, NoaBot, incluent un auto-propagateur vermifuge et une porte d\u00e9rob\u00e9e de cl\u00e9 SSH pour t\u00e9l\u00e9charger et ex\u00e9cuter des binaires suppl\u00e9mentaires ou se propager \u00e0 de nouvelles victimes&#8221;, a d\u00e9clar\u00e9 Stiv Kupchik, chercheur en s\u00e9curit\u00e9 d&#8217;Akamai, dans un communiqu\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/mirai-based-noabot-crypto-mining\" target=\"_blank\">rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n<p>Mirai, dont le code source a \u00e9t\u00e9 divulgu\u00e9 en 2016, est \u00e0 l&#8217;origine d&#8217;un certain nombre de r\u00e9seaux de zombies, le plus r\u00e9cent \u00e9tant InfectedSlurs, capable de lancer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS).<\/p>\n<p>Il semble que NoaBot pourrait \u00eatre li\u00e9 \u00e0 une autre campagne de botnet impliquant une famille de logiciels malveillants bas\u00e9s sur Rust connue sous le nom de P2PInfect, qui a r\u00e9cemment re\u00e7u une mise \u00e0 jour pour cibler les routeurs et les appareils IoT.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ceci est bas\u00e9 sur le fait que les acteurs malveillants ont \u00e9galement exp\u00e9riment\u00e9 l\u2019abandon de P2PInfect \u00e0 la place de NoaBot lors d\u2019attaques r\u00e9centes ciblant les serveurs SSH, ce qui indique des tentatives probables de basculement vers des logiciels malveillants personnalis\u00e9s.<\/p>\n<p>Malgr\u00e9 les fondations Mirai de NaoBot, son module d&#8217;\u00e9pandage exploite un scanner SSH pour rechercher les serveurs susceptibles d&#8217;\u00eatre infect\u00e9s. <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Dictionary_attack\" target=\"_blank\">attaque de dictionnaire<\/a> afin de les forcer brutalement et d&#8217;ajouter une cl\u00e9 publique SSH dans le fichier .ssh\/authorized_keys pour l&#8217;acc\u00e8s \u00e0 distance.  En option, il peut \u00e9galement t\u00e9l\u00e9charger et ex\u00e9cuter des fichiers binaires suppl\u00e9mentaires apr\u00e8s une exploitation r\u00e9ussie ou se propager \u00e0 de nouvelles victimes.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704904914_670_NoaBot-le-dernier-botnet-base-sur-Mirai-ciblant-les-serveurs.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704904914_670_NoaBot-le-dernier-botnet-base-sur-Mirai-ciblant-les-serveurs.jpg\" alt=\"Botnet bas\u00e9 sur Mirai\" border=\"0\" data-original-height=\"300\" data-original-width=\"728\" title=\"Botnet bas\u00e9 sur Mirai\"\/><\/a><\/div>\n<p>&#8220;NoaBot est compil\u00e9 avec uClibc, ce qui semble changer la fa\u00e7on dont les moteurs antivirus d\u00e9tectent les logiciels malveillants&#8221;, a not\u00e9 Kupchik.  &#8220;Alors que les autres variantes de Mirai sont g\u00e9n\u00e9ralement d\u00e9tect\u00e9es avec une signature Mirai, les signatures antivirus de NoaBot proviennent d&#8217;un scanner SSH ou d&#8217;un cheval de Troie g\u00e9n\u00e9rique.&#8221;<\/p>\n<p>En plus d&#8217;incorporer des tactiques d&#8217;obscurcissement pour rendre l&#8217;analyse difficile, la cha\u00eene d&#8217;attaque aboutit finalement au d\u00e9ploiement d&#8217;une version modifi\u00e9e du mineur de pi\u00e8ces XMRig.<\/p>\n<p>Ce qui place la nouvelle variante au-dessus des autres campagnes similaires bas\u00e9es sur le botnet Mirai, c&#8217;est qu&#8217;elle ne contient aucune information sur le pool de minage ou l&#8217;adresse du portefeuille, ce qui rend impossible l&#8217;\u00e9valuation de la rentabilit\u00e9 du syst\u00e8me de minage illicite de crypto-monnaie.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le mineur obscurcit sa configuration et utilise \u00e9galement un pool de minage personnalis\u00e9 pour \u00e9viter d&#8217;exposer l&#8217;adresse du portefeuille utilis\u00e9e par le mineur&#8221;, a d\u00e9clar\u00e9 Kupchik, soulignant un certain niveau de pr\u00e9paration des acteurs de la menace.<\/p>\n<p>Akamai a d\u00e9clar\u00e9 avoir identifi\u00e9 \u00e0 ce jour 849 adresses IP de victimes r\u00e9parties g\u00e9ographiquement \u00e0 travers le monde, avec de fortes concentrations signal\u00e9es en Chine, \u00e0 tel point qu&#8217;elles repr\u00e9sentent pr\u00e8s de 10 % de toutes les attaques contre ses honeypots en 2023.<\/p>\n<p>&#8220;La m\u00e9thode de d\u00e9placement lat\u00e9ral du logiciel malveillant consiste \u00e0 utiliser de simples attaques par dictionnaire d&#8217;informations d&#8217;identification SSH&#8221;, a d\u00e9clar\u00e9 Kupchik.  \u00ab Restreindre l&#8217;acc\u00e8s Internet SSH arbitraire \u00e0 votre r\u00e9seau diminue consid\u00e9rablement les risques d&#8217;infection. De plus, l&#8217;utilisation de mots de passe forts (et non g\u00e9n\u00e9r\u00e9s par d\u00e9faut ou al\u00e9atoires) rend \u00e9galement votre r\u00e9seau plus s\u00e9curis\u00e9, car le malware utilise une liste de base de mots de passe. <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/akamai\/akamai-security-research\/tree\/main\/malware\/noabot\/credentials\" target=\"_blank\">mots de passe devinables<\/a>&#8220;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/noabot-latest-mirai-based-botnet.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 janvier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 du serveur \/ Crypto-monnaie Un nouveau botnet bas\u00e9 sur Mirai appel\u00e9 NoaBot est utilis\u00e9 par les acteurs malveillants dans le cadre d\u2019une campagne de crypto mining depuis le d\u00e9but de 2023. &#8220;Les capacit\u00e9s du nouveau botnet, NoaBot, incluent un auto-propagateur vermifuge et une porte d\u00e9rob\u00e9e de cl\u00e9 SSH pour t\u00e9l\u00e9charger et ex\u00e9cuter [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1095133,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,3283,5464,4175,4168,8390,4165,4161,200267,1602,4159,4171,65,200271,15026,46101,200268,223826,200269,200270,185,128318,4172,4169,8541,97596,60,4166,4164],"class_list":["post-1095132","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-base","tag-botnet","tag-ciblant","tag-comment-pirater","tag-cryptomonnaies","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dernier","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-minage","tag-mirai","tag-mises-a-jour-sur-la-cybersecurite","tag-noabot","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pour","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-ssh","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1095132","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1095132"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1095132\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1095133"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1095132"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1095132"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1095132"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}