{"id":1607780,"date":"2025-04-02T17:03:03","date_gmt":"2025-04-02T19:03:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/outlaw-group-utilise-ssh-brute-force-pour-deployer-des-logiciels-malveillants-de-crypto-jacgle-sur-les-serveurs-linux\/"},"modified":"2025-04-02T17:03:08","modified_gmt":"2025-04-02T19:03:08","slug":"outlaw-group-utilise-ssh-brute-force-pour-deployer-des-logiciels-malveillants-de-crypto-jacgle-sur-les-serveurs-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/outlaw-group-utilise-ssh-brute-force-pour-deployer-des-logiciels-malveillants-de-crypto-jacgle-sur-les-serveurs-linux\/","title":{"rendered":"Outlaw Group utilise SSH Brute-Force pour d\u00e9ployer des logiciels malveillants de crypto-jacgle sur les serveurs Linux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cryptojacking \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Outlaw-Group-utilise-SSH-Brute-Force-pour-deployer-des-logiciels-malveillants.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont fait la lumi\u00e8re sur un botnet minier de crypto-monnaie &#8220;auto-propagant&#8221; appel\u00e9 <strong>Interdire<\/strong> (AKA DOTA) qui est connu pour cibler les serveurs SSH avec des informations d&#8217;identification faibles.<\/p>\n<p>&#8220;Outlaw est un logiciel malveillant Linux qui s&#8217;appuie sur les attaques \u00e0 force brute SSH, l&#8217;exploitation de crypto-monnaie et la propagation de type vers pour infecter et maintenir le contr\u00f4le des syst\u00e8mes&#8221;, \u00e9lastiques Labs de s\u00e9curit\u00e9 \u00e9lastique <a rel=\"noopener nofollow\" href=\"https:\/\/www.elastic.co\/security-labs\/outlaw-linux-malware\" target=\"_blank\">dit<\/a> Dans une nouvelle analyse publi\u00e9e mardi.<\/p>\n<p>Outlaw est \u00e9galement le nom donn\u00e9 aux acteurs de la menace derri\u00e8re le malware. On pense que c&#8217;est d&#8217;origine roumaine. D&#8217;autres groupes de piratage dominant le paysage du cryptojacking comprennent 8220, Keksec (AKA Kek Security), Kinsing et Teamtnt.<\/p>\n<p>Actif <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/18\/k\/outlaw-group-distributes-botnet-for-cryptocurrency-mining-scanning-and-brute-force.html\" target=\"_blank\">Depuis au moins fin 2018<\/a>le <a rel=\"noopener nofollow\" href=\"https:\/\/www.countercraftsec.com\/blog\/dota3-malware-again-and-again\/\" target=\"_blank\">\u00e9quipage de piratage<\/a> a <a rel=\"noopener nofollow\" href=\"https:\/\/blogs.juniper.net\/en-us\/threat-research\/dota3-is-your-internet-of-things-device-moonlighting\" target=\"_blank\">Serveurs SSH forc\u00e9 par brutalit\u00e9<\/a>abusant de l&#8217;ampleur pour effectuer une reconnaissance et maintenir la persistance sur les h\u00f4tes compromis en ajoutant leurs propres cl\u00e9s SSH au fichier &#8220;Authorized_keys&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le <a rel=\"noopener nofollow\" href=\"https:\/\/eviden.com\/publications\/security-dive\/outlaw-apt-group-from-initial-access-to-crypto-mining\/\" target=\"_blank\">agresseur<\/a> sont \u00e9galement connus pour incorporer un processus d&#8217;infection en plusieurs \u00e9tapes qui implique d&#8217;utiliser un script de shell dropper (&#8220;tddwrt7s.sh&#8221;) pour t\u00e9l\u00e9charger un fichier d&#8217;archive (&#8220;dota3.tar.gz&#8221;), qui est ensuite d\u00e9ball\u00e9 pour lancer le mineur tout en prenant des mesures pour supprimer des traces de compromis pass\u00e9s et <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/20\/b\/outlaw-updates-kit-to-kill-older-miner-versions-targets-more-systems.html\" target=\"_blank\">Tuez \u00e0 la fois la concurrence et leurs propres mineurs pr\u00e9c\u00e9dents<\/a>.<\/p>\n<p>UN <a rel=\"noopener nofollow\" href=\"https:\/\/www.darktrace.com\/blog\/outlaw-returns-uncovering-returning-features-and-new-tactics\" target=\"_blank\">caract\u00e9ristique notable<\/a> du malware est un composant d&#8217;acc\u00e8s initial (AKA Blitz) qui permet l&#8217;auto-copain des logiciels malveillants de mani\u00e8re semblable \u00e0 un botnet en scannant des syst\u00e8mes vuln\u00e9rables ex\u00e9cutant un service SSH. Le module de force brute est configur\u00e9 pour r\u00e9cup\u00e9rer une liste cible \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le (C2) SSH pour perp\u00e9tuer davantage le cycle.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Outlaw-Group-utilise-SSH-Brute-Force-pour-deployer-des-logiciels-malveillants.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Outlaw-Group-utilise-SSH-Brute-Force-pour-deployer-des-logiciels-malveillants.png\" alt=\"Cryptojacking malware sur les serveurs Linux\" border=\"0\" data-original-height=\"540\" data-original-width=\"960\" title=\"Cryptojacking malware sur les serveurs Linux\"\/><\/a><\/div>\n<p>Certaines it\u00e9rations des attaques ont \u00e9galement <a rel=\"noopener nofollow\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/20\/b\/outlaw-updates-kit-to-kill-older-miner-versions-targets-more-systems.html\" target=\"_blank\">recouru<\/a> pour exploiter les syst\u00e8mes d&#8217;exploitation bas\u00e9s sur Linux et Unix <a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-8655\" target=\"_blank\">CVE-2016-8655<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2016-5195\" target=\"_blank\">CVE-2016-5195<\/a> (AKA Dirty Cow), ainsi que des syst\u00e8mes d&#8217;attaque avec des r\u00e9f\u00e9rences Telnet faibles. Lors de l&#8217;obtention d&#8217;un acc\u00e8s initial, le malware d\u00e9ploie du shellbot pour la t\u00e9l\u00e9commande via un serveur C2 \u00e0 l&#8217;aide d&#8217;un canal IRC.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Shellbot, pour sa part, permet l&#8217;ex\u00e9cution de commandes de shell arbitraires, de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter des charges utiles suppl\u00e9mentaires, lance des attaques DDOS, vole des informations d&#8217;identification et exfiltre des informations sensibles.<\/p>\n<p>Dans le cadre de son processus d&#8217;exploitation mini\u00e8re, il d\u00e9termine le CPU du syst\u00e8me infect\u00e9 et permet aux \u00e9normes pages pour que tous les c\u0153urs de CPU augmentent l&#8217;efficacit\u00e9 de l&#8217;acc\u00e8s \u00e0 la m\u00e9moire. Le malware utilise \u00e9galement un binaire appel\u00e9 KSWAP01 pour assurer des communications persistantes avec l&#8217;infrastructure de l&#8217;acteur de menace.<\/p>\n<p>&#8220;Outlaw reste actif malgr\u00e9 l&#8217;utilisation de techniques de base comme la for\u00e7age brute SSH, la manipulation des cl\u00e9s SSH et la persistance bas\u00e9e sur Cron&#8221;, a d\u00e9clar\u00e9 Elastic. &#8220;Le malware d\u00e9ploie des mineurs XMRIG modifi\u00e9s, exploite l&#8217;IRC pour C2 et comprend des scripts accessibles au public pour la persistance et l&#8217;\u00e9vasion de la d\u00e9fense.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/outlaw-group-uses-ssh-brute-force-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 avril 2025\ue804Ravie LakshmananCryptojacking \/ malware Les chercheurs en cybers\u00e9curit\u00e9 ont fait la lumi\u00e8re sur un botnet minier de crypto-monnaie &#8220;auto-propagant&#8221; appel\u00e9 Interdire (AKA DOTA) qui est connu pour cibler les serveurs SSH avec des informations d&#8217;identification faibles. &#8220;Outlaw est un logiciel malveillant Linux qui s&#8217;appuie sur les attaques \u00e0 force brute SSH, l&#8217;exploitation de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1607781,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,93497,4168,292705,79002,274264,4161,274263,6124,9886,133,4555,65,18088,4589,4590,274267,4160,232121,185,238617,246491,4172,8541,97596,60,79016,1282,4166,4164],"class_list":["post-1607780","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-bruteforce","tag-comment-pirater","tag-cryptojacgle","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-deployer","tag-des","tag-group","tag-les","tag-linux","tag-logiciels","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-outlaw","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-serveurs","tag-ssh","tag-sur","tag-the-hacker-news","tag-utilise","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1607780","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1607780"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1607780\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1607781"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1607780"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1607780"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1607780"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}