{"id":300120,"date":"2022-08-07T05:03:42","date_gmt":"2022-08-07T07:03:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouveau-malware-iot-rapperbot-ciblant-les-serveurs-linux-via-ssh-brute-forcing-attack\/"},"modified":"2022-08-07T05:03:43","modified_gmt":"2022-08-07T07:03:43","slug":"nouveau-malware-iot-rapperbot-ciblant-les-serveurs-linux-via-ssh-brute-forcing-attack","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouveau-malware-iot-rapperbot-ciblant-les-serveurs-linux-via-ssh-brute-forcing-attack\/","title":{"rendered":"Nouveau malware IoT RapperBot ciblant les serveurs Linux via SSH Brute-Forcing Attack"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un nouveau malware botnet IoT surnomm\u00e9 <b>RappeurBot<\/b> a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00e9voluer rapidement dans ses capacit\u00e9s depuis sa d\u00e9couverte \u00e0 la mi-juin 2022.<\/p>\n<p>&#8220;Cette famille emprunte beaucoup au code source original de Mirai, mais ce qui la distingue des autres familles de logiciels malveillants IoT est sa capacit\u00e9 int\u00e9gr\u00e9e \u00e0 forcer brutalement les informations d&#8217;identification et \u00e0 acc\u00e9der aux serveurs SSH au lieu de Telnet tel qu&#8217;il est impl\u00e9ment\u00e9 dans Mirai&#8221;, Fortinet FortiGuard Labs <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/rapperbot-malware-discovery\" target=\"_blank\">a dit<\/a> dans un rapport.<\/p>\n<p>Le malware, qui tire son nom d&#8217;une URL int\u00e9gr\u00e9e \u00e0 une vid\u00e9o musicale de rap YouTube dans une version ant\u00e9rieure, aurait amass\u00e9 une collection croissante de serveurs SSH compromis, avec plus de 3 500 adresses IP uniques utilis\u00e9es pour scanner et forcer leur chemin. dans les serveurs.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;impl\u00e9mentation actuelle de RapperBot le distingue \u00e9galement de Mirai, lui permettant de fonctionner principalement comme un outil de force brute SSH avec des capacit\u00e9s limit\u00e9es pour mener des attaques par d\u00e9ni de service distribu\u00e9 (DDoS).<\/p>\n<p>L&#8217;\u00e9cart par rapport au comportement traditionnel de Mirai est encore mis en \u00e9vidence dans sa tentative d&#8217;\u00e9tablir une persistance sur l&#8217;h\u00f4te compromis, permettant ainsi \u00e0 l&#8217;auteur de la menace de maintenir un acc\u00e8s \u00e0 long terme longtemps apr\u00e8s la suppression du logiciel malveillant ou le red\u00e9marrage de l&#8217;appareil.<\/p>\n<p>Les attaques impliquent des cibles potentielles de force brute \u00e0 l&#8217;aide d&#8217;une liste d&#8217;informations d&#8217;identification re\u00e7ues d&#8217;un serveur distant.  Apr\u00e8s avoir p\u00e9n\u00e9tr\u00e9 avec succ\u00e8s dans un serveur SSH vuln\u00e9rable, les informations d&#8217;identification valides sont exfiltr\u00e9es vers la commande et le contr\u00f4le.<\/p>\n<p>&#8220;Depuis la mi-juillet, RapperBot est pass\u00e9 de l&#8217;auto-propagation au maintien d&#8217;un acc\u00e8s \u00e0 distance aux serveurs SSH forc\u00e9s&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel malveillant IdO RapperBot\" border=\"0\" data-original-height=\"462\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1659855822_394_Nouveau-malware-IoT-RapperBot-ciblant-les-serveurs-Linux-via-SSH.jpg\" title=\"Logiciel malveillant IdO RapperBot\" \/><\/div>\n<p>L&#8217;acc\u00e8s est obtenu en ajoutant la cl\u00e9 publique SSH des op\u00e9rateurs \u00e0 un fichier sp\u00e9cial appel\u00e9 &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-configure-ssh-key-based-authentication-on-a-linux-server\" target=\"_blank\">~\/.ssh\/authorized_keys<\/a>&#8220;, permettant \u00e0 l&#8217;adversaire de se connecter et de s&#8217;authentifier aupr\u00e8s du serveur \u00e0 l&#8217;aide de la cl\u00e9 priv\u00e9e correspondante sans avoir \u00e0 fournir de mot de passe.<\/p>\n<p>&#8220;Cela pr\u00e9sente une menace pour les serveurs SSH compromis car les acteurs de la menace peuvent y acc\u00e9der m\u00eame apr\u00e8s que les informations d&#8217;identification SSH ont \u00e9t\u00e9 modifi\u00e9es ou que l&#8217;authentification par mot de passe SSH est d\u00e9sactiv\u00e9e&#8221;, ont expliqu\u00e9 les chercheurs.<\/p>\n<p>&#8220;De plus, puisque le fichier est remplac\u00e9, toutes les cl\u00e9s autoris\u00e9es existantes sont supprim\u00e9es, ce qui emp\u00eache les utilisateurs l\u00e9gitimes d&#8217;acc\u00e9der au serveur SSH via l&#8217;authentification par cl\u00e9 publique.&#8221;<\/p>\n<p>Ce changement permet \u00e9galement au logiciel malveillant de maintenir son acc\u00e8s \u00e0 ces appareils pirat\u00e9s via SSH, permettant \u00e0 l&#8217;acteur de tirer parti de la prise de pied pour mener des attaques par d\u00e9ni de service de style Mirai.<\/p>\n<p>Ces diff\u00e9rences par rapport aux autres familles de logiciels malveillants IoT ont eu pour effet secondaire de rendre ses motivations principales myst\u00e9rieuses, un fait encore compliqu\u00e9 par le fait que les auteurs de RapperBot n&#8217;ont laiss\u00e9 que peu ou pas de signes r\u00e9v\u00e9lateurs de leur provenance.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Malgr\u00e9 l&#8217;abandon de l&#8217;auto-propagation en faveur de la persistance, le botnet aurait subi des changements importants en peu de temps, le principal \u00e9tant la suppression des fonctionnalit\u00e9s d&#8217;attaque DDoS des artefacts \u00e0 un moment donn\u00e9, pour \u00eatre r\u00e9introduit un semaine plus tard.<\/p>\n<p>Les objectifs de la campagne, en fin de compte, restent au mieux n\u00e9buleux, sans aucune activit\u00e9 de suivi observ\u00e9e apr\u00e8s un compromis r\u00e9ussi.  Ce qui est clair, c&#8217;est que les serveurs SSH avec des informations d&#8217;identification par d\u00e9faut ou devinables sont regroup\u00e9s dans un botnet \u00e0 des fins futures non sp\u00e9cifi\u00e9es.<\/p>\n<p>Pour parer \u00e0 de telles infections, il est recommand\u00e9 aux utilisateurs de d\u00e9finir des mots de passe forts pour les appareils ou de d\u00e9sactiver l&#8217;authentification par mot de passe pour SSH dans la mesure du possible.<\/p>\n<p>&#8220;Bien que cette menace emprunte beaucoup de code \u00e0 Mirai, elle poss\u00e8de des caract\u00e9ristiques qui la distinguent de son pr\u00e9d\u00e9cesseur et de ses variantes&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Sa capacit\u00e9 \u00e0 persister dans le syst\u00e8me de la victime donne aux acteurs de la menace la flexibilit\u00e9 de les utiliser \u00e0 toutes les fins malveillantes qu&#8217;ils souhaitent.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/new-iot-rapperbot-malware-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un nouveau malware botnet IoT surnomm\u00e9 RappeurBot a \u00e9t\u00e9 observ\u00e9 en train d&#8217;\u00e9voluer rapidement dans ses capacit\u00e9s depuis sa d\u00e9couverte \u00e0 la mi-juin 2022. &#8220;Cette famille emprunte beaucoup au code source original de Mirai, mais ce qui la distingue des autres familles de logiciels malveillants IoT est sa capacit\u00e9 int\u00e9gr\u00e9e \u00e0 forcer brutalement les informations [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":300121,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4270,97597,4175,4168,4158,4165,4161,21708,4157,4159,4171,4170,65,18088,4167,4174,4160,680,4163,4162,97595,4172,4169,8541,97596,4166,4164],"class_list":["post-300120","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attack","tag-bruteforcing","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-iot","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-rapperbot","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-ssh","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/300120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=300120"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/300120\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/300121"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=300120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=300120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=300120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}