{"id":39390,"date":"2022-03-17T15:11:54","date_gmt":"2022-03-17T17:11:54","guid":{"rendered":"https:\/\/teknomers.com\/fr\/dirtymoe-botnet-gagne-de-nouveaux-exploits-dans-le-module-wormable-pour-se-propager-rapidement\/"},"modified":"2022-03-17T15:12:37","modified_gmt":"2022-03-17T17:12:37","slug":"dirtymoe-botnet-gagne-de-nouveaux-exploits-dans-le-module-wormable-pour-se-propager-rapidement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/dirtymoe-botnet-gagne-de-nouveaux-exploits-dans-le-module-wormable-pour-se-propager-rapidement\/","title":{"rendered":"DirtyMoe Botnet gagne de nouveaux exploits dans le module Wormable pour se propager rapidement"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le logiciel malveillant connu sous le nom de <b>DirtyMoe<\/b> a acquis de nouvelles capacit\u00e9s de propagation semblables \u00e0 des vers qui lui permettent d&#8217;\u00e9tendre sa port\u00e9e sans n\u00e9cessiter aucune interaction de l&#8217;utilisateur, selon les derni\u00e8res recherches.<\/p>\n<p>&#8220;Le module de vermifugation cible les anciennes vuln\u00e9rabilit\u00e9s bien connues, par exemple, <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/EternalBlue\" target=\"_blank\">Bleu \u00e9ternel<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/foxglovesecurity.com\/2016\/01\/16\/hot-potato\/\" target=\"_blank\">Patate chaude<\/a> Escalade des privil\u00e8ges Windows &#8220;, Martin Chlumeck\u00fd, chercheur chez Avast <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/martinchlumecky\/dirtymoe-5\/\" target=\"_blank\">mentionn\u00e9<\/a> dans un rapport publi\u00e9 mercredi.<\/p>\n<p>&#8220;Un module de ver peut g\u00e9n\u00e9rer et attaquer des centaines de milliers d&#8217;adresses IP priv\u00e9es et publiques par jour\u00a0; de nombreuses victimes sont \u00e0 risque car de nombreuses machines utilisent encore des syst\u00e8mes non corrig\u00e9s ou des mots de passe faibles.&#8221;<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/mset1\" target=\"_blank\" title=\"Automatic GitHub Backups\"><img loading=\"lazy\" decoding=\"async\" alt=\"Sauvegardes GitHub automatiques\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/TrickBot-Gang-est-susceptible-de-modifier-ses-operations-pour-passer.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Actif depuis 2016, le <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/news\/dirtymoe-botnet-returns-undetectable-threat-profile\/\" target=\"_blank\">Le botnet DirtyMoe<\/a> est utilis\u00e9 pour effectuer des attaques de cryptojacking et de d\u00e9ni de service distribu\u00e9 (DDoS), et est d\u00e9ploy\u00e9 au moyen de kits d&#8217;exploitation externes comme PurpleFox ou d&#8217;installateurs inject\u00e9s de Telegram Messenger.<\/p>\n<p>Un service DirtyMoe est \u00e9galement utilis\u00e9 dans le cadre de la s\u00e9quence d&#8217;attaque. Il d\u00e9clenche le lancement de deux processus suppl\u00e9mentaires, \u00e0 savoir le noyau et le bourreau, qui sont utilis\u00e9s pour charger les modules pour l&#8217;extraction de Monero et pour propager le logiciel malveillant \u00e0 la mani\u00e8re d&#8217;un ver.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"570\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/DirtyMoe-Botnet-gagne-de-nouveaux-exploits-dans-le-module-Wormable.gif\" \/><\/div>\n<p>Les modules de vermifuge attaquent les machines victimes en utilisant plusieurs vuln\u00e9rabilit\u00e9s pour installer le logiciel malveillant, chaque module ciblant une faille sp\u00e9cifique en fonction des informations recueillies apr\u00e8s la reconnaissance &#8211;<\/p>\n<ul>\n<li>CVE-2019-9082\u00a0: ThinkPHP \u2013 Plusieurs RCE d&#8217;injection PHP<\/li>\n<li>CVE-2019-2725 : Oracle Weblogic Server \u2013 RCE de d\u00e9s\u00e9rialisation \u00ab AsyncResponseService \u00bb<\/li>\n<li>CVE-2019-1458\u00a0: Escalade des privil\u00e8ges locaux de WizardOpium<\/li>\n<li>CVE-2018-0147\u00a0: Vuln\u00e9rabilit\u00e9 de d\u00e9s\u00e9rialisation<\/li>\n<li>CVE-2017-0144 : Ex\u00e9cution de code \u00e0 distance EternalBlue SMB (MS17-010)<\/li>\n<li>MS15-076\u00a0: RCE autorise l&#8217;\u00e9l\u00e9vation de privil\u00e8ges (escalade de privil\u00e8ges Windows Hot Potato)<\/li>\n<li>Attaques par dictionnaire visant les services MS SQL Servers, SMB et Windows Management Instrumentation (WMI) avec des mots de passe faibles<\/li>\n<\/ul>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/cs-feb-header\" target=\"_blank\" title=\"Prevent Data Breaches\"><img loading=\"lazy\" decoding=\"async\" alt=\"Emp\u00eacher les violations de donn\u00e9es\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;L&#8217;objectif principal du module de vermifugation est d&#8217;obtenir RCE avec des privil\u00e8ges d&#8217;administrateur et d&#8217;installer une nouvelle instance de DirtyMoe&#8221;, a expliqu\u00e9 Chlumeck\u00fd, ajoutant que l&#8217;une des fonctions principales du composant est de g\u00e9n\u00e9rer une liste d&#8217;adresses IP \u00e0 attaquer en fonction de l&#8217;emplacement g\u00e9ologique du module.<\/p>\n<p>De plus, un autre module de vermifugation en d\u00e9veloppement s&#8217;est av\u00e9r\u00e9 contenir des exploits ciblant PHP, Java Deserialization et Oracle Weblogic Servers, ce qui implique que les attaquants cherchent \u00e0 \u00e9largir la port\u00e9e des infections.<\/p>\n<p>&#8220;Les IP cibles de vermifugation sont g\u00e9n\u00e9r\u00e9es \u00e0 l&#8217;aide de l&#8217;algorithme intelligemment con\u00e7u qui g\u00e9n\u00e8re uniform\u00e9ment des adresses IP \u00e0 travers le monde et en relation avec l&#8217;emplacement g\u00e9ologique du module de vermifugation&#8221;, a d\u00e9clar\u00e9 Chlumeck\u00fd.  &#8220;De plus, le module cible les r\u00e9seaux locaux\/domestiques. De ce fait, les adresses IP publiques et m\u00eame les r\u00e9seaux priv\u00e9s derri\u00e8re des pare-feu sont \u00e0 risque.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/03\/dirtymoe-botnet-gains-new-exploits-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le logiciel malveillant connu sous le nom de DirtyMoe a acquis de nouvelles capacit\u00e9s de propagation semblables \u00e0 des vers qui lui permettent d&#8217;\u00e9tendre sa port\u00e9e sans n\u00e9cessiter aucune interaction de l&#8217;utilisateur, selon les derni\u00e8res recherches. &#8220;Le module de vermifugation cible les anciennes vuln\u00e9rabilit\u00e9s bien connues, par exemple, Bleu \u00e9ternel et Patate chaude Escalade des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":39391,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5464,4168,4158,4165,4161,429,29858,29859,3865,4157,4159,4171,4170,4167,4160,10613,4588,4163,4162,185,29861,2161,4172,4169,4166,4164,29860],"class_list":["post-39390","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-botnet","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dirtymoe","tag-exploits","tag-gagne","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-module","tag-nouveaux","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-propager","tag-rapidement","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wormable"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/39390","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=39390"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/39390\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/39391"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=39390"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=39390"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=39390"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}