{"id":787809,"date":"2023-06-17T06:01:27","date_gmt":"2023-06-17T08:01:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/du-cryptojacking-aux-attaques-ddos-diicot-etend-ses-tactiques-avec-cayosin-botnet\/"},"modified":"2023-06-17T06:01:30","modified_gmt":"2023-06-17T08:01:30","slug":"du-cryptojacking-aux-attaques-ddos-diicot-etend-ses-tactiques-avec-cayosin-botnet","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/du-cryptojacking-aux-attaques-ddos-diicot-etend-ses-tactiques-avec-cayosin-botnet\/","title":{"rendered":"Du cryptojacking aux attaques DDoS\u00a0: Diicot \u00e9tend ses tactiques avec Cayosin Botnet"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">17 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cryptojacking \/ S\u00e9curit\u00e9 r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert des charges utiles auparavant non document\u00e9es associ\u00e9es \u00e0 un acteur mena\u00e7ant roumain nomm\u00e9 <strong>Diicot<\/strong>r\u00e9v\u00e9lant son potentiel pour lancer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS).<\/p>\n<p>&#8220;Le nom Diicot est significatif, car c&#8217;est aussi le nom du <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Directorate_for_Investigating_Organized_Crime_and_Terrorism\" target=\"_blank\">Unit\u00e9 roumaine de police du crime organis\u00e9 et de la lutte contre le terrorisme<\/a>,&#8221; Cado S\u00e9curit\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/tracking-diicot-an-emerging-romanian-threat-actor\/\" target=\"_blank\">a dit<\/a> dans un rapport technique.  &#8220;En outre, les artefacts des campagnes du groupe contiennent des messages et des images li\u00e9s \u00e0 cette organisation.&#8221;<\/p>\n<p>Diicot (n\u00e9e Mexals) a \u00e9t\u00e9 document\u00e9e pour la premi\u00e8re fois par Bitdefender en juillet 2021, r\u00e9v\u00e9lant l&#8217;utilisation par l&#8217;acteur d&#8217;un outil de force brute SSH bas\u00e9 sur Go appel\u00e9 Diicot Brute pour violer les h\u00f4tes Linux dans le cadre d&#8217;une campagne de cryptojacking.<\/p>\n<p>Plus t\u00f4t en avril, Akamai a r\u00e9v\u00e9l\u00e9 ce qu&#8217;il a d\u00e9crit comme une &#8220;r\u00e9surgence&#8221; de l&#8217;activit\u00e9 de 2021 qui aurait commenc\u00e9 vers octobre 2022, rapportant \u00e0 l&#8217;acteur environ 10 000 dollars de profits illicites.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/La-nouvelle-souche-Linux-Ransomware-BlackSuit-presente-des-similitudes-frappantes.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Les attaquants utilisent une longue cha\u00eene de charges utiles avant de finalement l\u00e2cher un cryptomineur Monero&#8221;, a d\u00e9clar\u00e9 le chercheur d&#8217;Akamai, Stiv Kupchik. <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/mexals-cryptojacking-malware-resurgence\" target=\"_blank\">a dit<\/a> \u00e0 l&#8217;\u00e9poque.  &#8220;Les nouvelles fonctionnalit\u00e9s incluent l&#8217;utilisation d&#8217;un module de ver Secure Shell Protocol (SSH), des rapports accrus, une meilleure obfuscation de la charge utile et un nouveau module d&#8217;\u00e9pandage LAN.&#8221;<\/p>\n<p>La derni\u00e8re analyse de Cado Security montre que le groupe d\u00e9ploie \u00e9galement un botnet standard appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20190414145619\/https:\/\/perchsecurity.com\/perch-news\/threat-report-sunday-february-3rd-2019\/\" target=\"_blank\">Cayosine<\/a>une famille de logiciels malveillants qui partage des caract\u00e9ristiques avec Qbot et Mirai.<\/p>\n<p>Le d\u00e9veloppement est un signe que l&#8217;acteur de la menace poss\u00e8de d\u00e9sormais la capacit\u00e9 de monter des attaques DDoS.  Parmi les autres activit\u00e9s men\u00e9es par le groupe, citons le doxxing de groupes de piratage rivaux et sa d\u00e9pendance \u00e0 Discord pour le commandement et le contr\u00f4le et l&#8217;exfiltration de donn\u00e9es.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1686988886_53_Du-cryptojacking-aux-attaques-DDoS-Diicot-etend-ses-tactiques-avec.jpg\" alt=\"La cyber-s\u00e9curit\u00e9\" border=\"0\" data-original-height=\"518\" data-original-width=\"728\" title=\"La cyber-s\u00e9curit\u00e9\"\/><\/div>\n<p>&#8220;Le d\u00e9ploiement de cet agent \u00e9tait destin\u00e9 aux routeurs ex\u00e9cutant le syst\u00e8me d&#8217;exploitation des appareils embarqu\u00e9s bas\u00e9 sur Linux, OpenWrt&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.  &#8220;L&#8217;utilisation de Cayosin d\u00e9montre la volont\u00e9 de Diicot de mener une vari\u00e9t\u00e9 d&#8217;attaques (pas seulement de cryptojacking) en fonction du type de cibles qu&#8217;ils rencontrent.&#8221;<\/p>\n<p>Les cha\u00eenes de compromis de Diicot sont rest\u00e9es largement coh\u00e9rentes, tirant parti de l&#8217;utilitaire de for\u00e7age brut SSH personnalis\u00e9 pour prendre pied et supprimer des logiciels malveillants suppl\u00e9mentaires tels que la variante Mirai et le crypto-mineur.<\/p>\n<p>Certains des autres outils utilis\u00e9s par l&#8217;acteur sont les suivants &#8211;<\/p>\n<ul>\n<li><strong>Chrome<\/strong> &#8211; Un scanner internet bas\u00e9 sur Zmap qui peut \u00e9crire les r\u00e9sultats de l&#8217;op\u00e9ration dans un fichier texte (&#8220;bios.txt&#8221;).<\/li>\n<li><strong>Mise \u00e0 jour<\/strong> &#8211; Un ex\u00e9cutable qui r\u00e9cup\u00e8re et ex\u00e9cute le brute-forcer SSH et Chrome s&#8217;ils n&#8217;existent pas dans le syst\u00e8me.<\/li>\n<li><strong>Histoire<\/strong> &#8211; Un script shell con\u00e7u pour ex\u00e9cuter Update<\/li>\n<\/ul>\n<p>L&#8217;outil SSH brute-forcer (alias alias), pour sa part, analyse la sortie du fichier texte de Chrome pour p\u00e9n\u00e9trer dans chacune des adresses IP identifi\u00e9es et, en cas de succ\u00e8s, \u00e9tablit une connexion \u00e0 distance \u00e0 l&#8217;adresse IP.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>Ceci est ensuite suivi par l&#8217;ex\u00e9cution d&#8217;une s\u00e9rie de commandes pour profiler l&#8217;h\u00f4te infect\u00e9 et l&#8217;utiliser pour d\u00e9ployer un cryptomineur ou le faire agir comme un \u00e9pandeur si le processeur de la machine a moins de quatre c\u0153urs.<\/p>\n<p>Pour att\u00e9nuer ces attaques, il est recommand\u00e9 aux organisations de mettre en \u0153uvre des r\u00e8gles de renforcement et de pare-feu SSH pour limiter l&#8217;acc\u00e8s SSH \u00e0 des adresses IP sp\u00e9cifiques.<\/p>\n<p>&#8220;Cette campagne cible sp\u00e9cifiquement les serveurs SSH expos\u00e9s \u00e0 Internet avec l&#8217;authentification par mot de passe activ\u00e9e&#8221;, a d\u00e9clar\u00e9 Cado Security.  &#8220;La liste de noms d&#8217;utilisateur\/mots de passe qu&#8217;ils utilisent est relativement limit\u00e9e et comprend des paires d&#8217;informations d&#8217;identification par d\u00e9faut et faciles \u00e0 deviner.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/from-cryptojacking-to-ddos-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80217 juin 2023\ue804Ravie LakshmananCryptojacking \/ S\u00e9curit\u00e9 r\u00e9seau Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert des charges utiles auparavant non document\u00e9es associ\u00e9es \u00e0 un acteur mena\u00e7ant roumain nomm\u00e9 Diicotr\u00e9v\u00e9lant son potentiel pour lancer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS). &#8220;Le nom Diicot est significatif, car c&#8217;est aussi le nom du Unit\u00e9 roumaine de police du [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":787810,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,507,84,5464,168881,4168,119982,4158,4165,4161,2890,168880,2432,4157,4159,4171,4170,4167,4160,4163,4162,4172,4169,269,11977,4166,4164],"class_list":["post-787809","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-aux","tag-avec","tag-botnet","tag-cayosin","tag-comment-pirater","tag-cryptojacking","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-ddos","tag-diicot","tag-etend","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-ses","tag-tactiques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/787809","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=787809"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/787809\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/787810"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=787809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=787809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=787809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}