Un botnet naissant appel\u00e9 Andoryu<\/strong> a \u00e9t\u00e9 trouv\u00e9 \u00e0 exploiter<\/a> une faille de s\u00e9curit\u00e9 critique d\u00e9sormais corrig\u00e9e dans le panneau d’administration Ruckus Wireless pour p\u00e9n\u00e9trer dans les appareils vuln\u00e9rables.<\/p>\n Le d\u00e9faut<\/a>suivi comme CVE-2023-25717<\/a> (score CVSS\u00a0: 9,8), d\u00e9coule d’une mauvaise gestion des requ\u00eates HTTP, entra\u00eenant l’ex\u00e9cution de code \u00e0 distance non authentifi\u00e9 et une compromission compl\u00e8te de l’\u00e9quipement du point d’acc\u00e8s (PA) sans fil.<\/p>\n Andoryu \u00e9tait document\u00e9 pour la premi\u00e8re fois<\/a> par la soci\u00e9t\u00e9 chinoise de cybers\u00e9curit\u00e9 QiAnXin plus t\u00f4t en f\u00e9vrier, d\u00e9taillant sa capacit\u00e9 \u00e0 communiquer avec des serveurs de commande et de contr\u00f4le (C2) en utilisant le Protocole SOCKS5<\/a>.<\/p>\n Alors que le malware est connu pour militariser les failles d’ex\u00e9cution de code \u00e0 distance dans GitLab (CVE-2021-22205<\/a>) et Lilin DVR pour la propagation, l’ajout de CVE-2023-25717 montre qu’Andoryu \u00e9tend activement son arsenal d’exploits pour pi\u00e9ger davantage d’appareils dans le botnet.<\/p>\n “Il contient des modules d’attaque DDoS pour diff\u00e9rents protocoles et communique avec son serveur de commande et de contr\u00f4le \u00e0 l’aide de proxys SOCKS5”, a d\u00e9clar\u00e9 Cara Lin, chercheuse chez Fortinet FortiGuard Labs. a dit<\/a>ajoutant la derni\u00e8re campagne lanc\u00e9e fin avril 2023.<\/p>\n Une analyse plus approfondie de la cha\u00eene d’attaque a r\u00e9v\u00e9l\u00e9 qu’une fois que la faille Ruckus est utilis\u00e9e pour acc\u00e9der \u00e0 un appareil, un script d’un serveur distant est d\u00e9pos\u00e9 sur l’appareil infect\u00e9 pour prolif\u00e9ration.<\/p>\n Le malware, pour sa part, \u00e9tablit \u00e9galement un contact avec un serveur C2 et attend de nouvelles instructions pour lancer une attaque DDoS contre des cibles d’int\u00e9r\u00eat en utilisant des protocoles comme ICMP, TCP et UDP.<\/p>\n Le co\u00fbt associ\u00e9 au montage de telles attaques est annonc\u00e9 via une liste sur la cha\u00eene Telegram du vendeur, avec des forfaits mensuels allant de 90 $ \u00e0 115 $ selon la dur\u00e9e.<\/p>\n RapperBot Botnet ajoute Crypto Mining \u00e0 sa liste de capacit\u00e9s L’alerte fait suite \u00e0 la d\u00e9couverte de nouvelles versions du botnet RapperBot DDoS qui int\u00e8grent une fonctionnalit\u00e9 de cryptojacking pour tirer profit des syst\u00e8mes Intel x64 compromis en laissant tomber un crypto-mineur Monero.<\/p>\n Les campagnes RapperBot se sont principalement concentr\u00e9es sur la force brute des appareils IoT avec des informations d’identification SSH ou Telnet faibles ou par d\u00e9faut pour \u00e9tendre l’empreinte du botnet pour lancer des attaques DDoS.<\/p>\n Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n Sauvez ma place\u00a0!<\/a><\/div>\n Fortinet a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 la derni\u00e8re it\u00e9ration de l’activit\u00e9 de mineur RapperBot en janvier 2023, les attaques d\u00e9livrant un script shell Bash qui, \u00e0 son tour, est capable de t\u00e9l\u00e9charger et d’ex\u00e9cuter des crypto-mineurs XMRig et des binaires RapperBot s\u00e9par\u00e9s.<\/p>\n Les mises \u00e0 jour ult\u00e9rieures du logiciel malveillant ont fusionn\u00e9 les deux fonctions disparates en un seul client bot dot\u00e9 de capacit\u00e9s d’exploration, tout en prenant des mesures pour mettre fin aux processus de minage concurrents.<\/p>\n Fait int\u00e9ressant, aucun des nouveaux \u00e9chantillons RapperBot avec le mineur XMRig int\u00e9gr\u00e9 n’int\u00e8gre de capacit\u00e9s d’auto-propagation, ce qui soul\u00e8ve la possibilit\u00e9 d’un m\u00e9canisme de distribution alternatif.<\/p>\n “Cela sugg\u00e8re la disponibilit\u00e9 possible d’un chargeur externe exploit\u00e9 par l’acteur de la menace qui abuse des informations d’identification collect\u00e9es par d’autres \u00e9chantillons de RapperBot avec des capacit\u00e9s de force brute et infecte uniquement les machines x64 avec le bot\/mineur combin\u00e9”, Fortinet th\u00e9oris\u00e9<\/a>.<\/p>\n L’extension de RapperBot au cryptojacking est une autre indication que les op\u00e9rateurs de menaces motiv\u00e9s financi\u00e8rement ne m\u00e9nagent aucun effort pour “extraire le maximum de valeur des machines infect\u00e9es par leurs botnets”.<\/p>\n Les d\u00e9veloppements jumeaux surviennent \u00e9galement alors que le minist\u00e8re am\u00e9ricain de la Justice a annonc\u00e9 la saisie de 13 domaines Internet associ\u00e9s \u00e0 des services DDoS-for-hire.<\/p>\n <\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiiDx1cSDdsI1WDaTgebQF3dcQDnPUe8nQL2omy4Dfk4d8CB-mbA-0n-Rm0xmSpV4F6TbqDp6G5cUcGULTe2sLx9wunFIwZDD2-lhNPeCR5geKKUNBk8qw1BYVAanKbAPFVUEN-PEcgYuyOBVGxW-a8ple5Dc1iGG2kgwVda_ZqAEkXcES424J0WrOy2Q\/s728-e100\/tr60percentstatic-728x90.png\")
<\/a><\/center><\/div>\n![\"Botnet](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683795991_736_Andoryu-Botnet-exploite-la-faille-sans-fil-critique-de-Ruckus.png\" "\\"Botnet")
<\/div>\n\n
\n<\/h2>\n![\"Botnet](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgW2xx7UvyNc_H0kiYdKV9Lz1hT-L86LrusE9XexxXgitIuTbC-ld8Qf_vPGxUiQ9jFs3s68seaRlzC4eEc30ocOCWv142yXZjD3-ZLUURq_PfiZqfk5l_BXVZM38FMej9GSO_CAE3ibdkSpzgV7oVnQYE7-s_zx_aHKdnEaoMscs4D-RGF4aq--3aa\/s728-e3650\/ddos-botnet.png\" "\\"Botnet")
<\/div>\n