{"id":793950,"date":"2023-06-21T07:13:40","date_gmt":"2023-06-21T09:13:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-logiciel-malveillant-condi-detourne-les-routeurs-wi-fi-tp-link-pour-les-attaques-de-botnet-ddos\/"},"modified":"2023-06-21T07:13:43","modified_gmt":"2023-06-21T09:13:43","slug":"le-nouveau-logiciel-malveillant-condi-detourne-les-routeurs-wi-fi-tp-link-pour-les-attaques-de-botnet-ddos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-logiciel-malveillant-condi-detourne-les-routeurs-wi-fi-tp-link-pour-les-attaques-de-botnet-ddos\/","title":{"rendered":"Le nouveau logiciel malveillant Condi d\u00e9tourne les routeurs Wi-Fi TP-Link pour les attaques de botnet DDoS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 r\u00e9seau \/ Botnet<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un nouveau malware appel\u00e9 <strong>Conditions<\/strong> a \u00e9t\u00e9 observ\u00e9 exploitant une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 dans les routeurs Wi-Fi TP-Link Archer AX21 (AX1800) pour lier les appareils \u00e0 un botnet de d\u00e9ni de service distribu\u00e9 (DDoS).<\/p>\n<p>Laboratoires Fortinet FortiGuard <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/condi-ddos-botnet-spreads-via-tp-links-cve-2023-1389\" target=\"_blank\">a dit<\/a> la campagne s&#8217;est intensifi\u00e9e depuis fin mai 2023. Condi est l&#8217;\u0153uvre d&#8217;un acteur mena\u00e7ant qui utilise l&#8217;alias en ligne zxcr9999 sur Telegram et g\u00e8re une cha\u00eene Telegram appel\u00e9e Condi Network pour annoncer leur warez.<\/p>\n<p>&#8220;La cha\u00eene Telegram a \u00e9t\u00e9 lanc\u00e9e en mai 2022, et l&#8217;acteur de la menace a mon\u00e9tis\u00e9 son botnet en fournissant DDoS-as-a-service et en vendant le code source du malware&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Joie Salvio et Roy Tay.<\/p>\n<p>Une analyse de l&#8217;artefact malveillant r\u00e9v\u00e8le sa capacit\u00e9 \u00e0 mettre fin \u00e0 d&#8217;autres botnets concurrents sur le m\u00eame h\u00f4te.  Cependant, il manque un m\u00e9canisme de persistance, ce qui signifie que le programme ne peut pas survivre \u00e0 un red\u00e9marrage du syst\u00e8me.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1686048876_77_Alerte-Zero-Day-Google-publie-un-correctif-pour-la-nouvelle-vulnerabilite.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Pour contourner cette limitation, le logiciel malveillant supprime plusieurs fichiers binaires utilis\u00e9s pour arr\u00eater ou red\u00e9marrer le syst\u00e8me &#8211;<\/p>\n<ul>\n<li>\/usr\/sbin\/reboot<\/li>\n<li>\/usr\/bin\/reboot<\/li>\n<li>\/usr\/sbin\/shutdown<\/li>\n<li>\/usr\/bin\/shutdown<\/li>\n<li>\/usr\/sbin\/poweroff<\/li>\n<li>\/usr\/bin\/poweroff<\/li>\n<li>\/usr\/sbin\/halte<\/li>\n<li>\/usr\/bin\/halte<\/li>\n<\/ul>\n<p>Condi, contrairement \u00e0 certains botnets qui se propagent au moyen d&#8217;attaques par force brute, exploite un module de scanner qui v\u00e9rifie les appareils TP-Link Archer AX21 vuln\u00e9rables et, si c&#8217;est le cas, ex\u00e9cute un script shell r\u00e9cup\u00e9r\u00e9 \u00e0 partir d&#8217;un serveur distant pour d\u00e9poser le malware.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, le scanner identifie les routeurs sensibles \u00e0 CVE-2023-1389 (score CVSS\u00a0: 8,8), un <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortiguard.com\/outbreak-alert\/tp-link-archer-ax-21-command-injection\" target=\"_blank\">bogue d&#8217;injection de commande<\/a> qui \u00e9tait auparavant exploit\u00e9 par le botnet Mirai.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1687338820_293_Le-nouveau-logiciel-malveillant-Condi-detourne-les-routeurs-Wi-Fi-TP-Link.jpg\" alt=\"Logiciel malveillant Condi\" border=\"0\" data-original-height=\"395\" data-original-width=\"728\" title=\"Logiciel malveillant Condi\"\/><\/div>\n<p>Fortinet a d\u00e9clar\u00e9 avoir rencontr\u00e9 d&#8217;autres \u00e9chantillons de Condi qui exploitaient plusieurs failles de s\u00e9curit\u00e9 connues pour la propagation, sugg\u00e9rant que les logiciels non corrig\u00e9s risquaient d&#8217;\u00eatre cibl\u00e9s par des logiciels malveillants de botnet.<\/p>\n<p>Mis \u00e0 part les tactiques de mon\u00e9tisation agressives, Condi vise \u00e0 pi\u00e9ger les appareils pour cr\u00e9er un puissant botnet DDoS qui peut \u00eatre lou\u00e9 par d&#8217;autres acteurs pour orchestrer des attaques d&#8217;inondation TCP et UDP sur des sites Web et des services.<\/p>\n<p>&#8220;Les campagnes de logiciels malveillants, en particulier les botnets, cherchent toujours des moyens de se d\u00e9velopper&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;L&#8217;exploitation des vuln\u00e9rabilit\u00e9s r\u00e9cemment d\u00e9couvertes (ou publi\u00e9es) a toujours \u00e9t\u00e9 l&#8217;une de leurs m\u00e9thodes pr\u00e9f\u00e9r\u00e9es.&#8221;<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>Le d\u00e9veloppement intervient alors que le AhnLab Security Emergency Response Center (ASEC) a r\u00e9v\u00e9l\u00e9 que des serveurs Linux mal g\u00e9r\u00e9s sont pirat\u00e9s pour fournir des bots DDoS tels que ShellBot et Tsunami (alias Kaiten) ainsi qu&#8217;abuser furtivement des ressources pour l&#8217;extraction de crypto-monnaie.<\/p>\n<p>&#8220;Le code source de Tsunami est accessible au public, il est donc utilis\u00e9 par une multitude d&#8217;acteurs de la menace&#8221;, ASEC <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/54647\/\" target=\"_blank\">a dit<\/a>.  &#8220;Parmi ses diverses utilisations, il est principalement utilis\u00e9 dans les attaques contre les appareils IoT. Bien s\u00fbr, il est \u00e9galement syst\u00e9matiquement utilis\u00e9 pour cibler les serveurs Linux.&#8221;<\/p>\n<p>Les cha\u00eenes d&#8217;attaque consistent \u00e0 compromettre les serveurs \u00e0 l&#8217;aide d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Dictionary_attack\" target=\"_blank\">attaque par dictionnaire<\/a> pour ex\u00e9cuter un script shell escroc capable de t\u00e9l\u00e9charger des logiciels malveillants de niveau sup\u00e9rieur et de maintenir un acc\u00e8s par porte d\u00e9rob\u00e9e persistant en ajoutant une cl\u00e9 publique au fichier .ssh\/authorized_keys.<\/p>\n<p>Le malware botnet Tsunami utilis\u00e9 dans l&#8217;attaque est une nouvelle variante appel\u00e9e Ziggy qui partage des chevauchements significatifs avec le code source d&#8217;origine.  Il utilise en outre le chat de relais Internet (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Internet_Relay_Chat\" target=\"_blank\">CRI<\/a>) pour le commandement et le contr\u00f4le (C2).<\/p>\n<p>Un ensemble d&#8217;outils auxiliaires est \u00e9galement utilis\u00e9 pendant les intrusions pour l&#8217;\u00e9l\u00e9vation des privil\u00e8ges et la modification ou l&#8217;effacement des fichiers journaux afin de dissimuler la piste et d&#8217;entraver l&#8217;analyse.<\/p>\n<p>&#8220;Les administrateurs doivent utiliser des mots de passe difficiles \u00e0 deviner pour leurs comptes et les modifier p\u00e9riodiquement pour prot\u00e9ger le serveur Linux des attaques par force brute et des attaques par dictionnaire et mettre \u00e0 jour le dernier correctif pour emp\u00eacher les attaques de vuln\u00e9rabilit\u00e9&#8221;, a d\u00e9clar\u00e9 l&#8217;ASEC.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/new-condi-malware-hijacking-tp-link-wi.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 juin 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 r\u00e9seau \/ Botnet Un nouveau malware appel\u00e9 Conditions a \u00e9t\u00e9 observ\u00e9 exploitant une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 dans les routeurs Wi-Fi TP-Link Archer AX21 (AX1800) pour lier les appareils \u00e0 un botnet de d\u00e9ni de service distribu\u00e9 (DDoS). Laboratoires Fortinet FortiGuard a dit la campagne s&#8217;est intensifi\u00e9e depuis fin mai 2023. Condi [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":793951,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,5464,4168,169643,4158,4165,4161,2890,14825,4157,4159,4171,4170,65,6816,4167,7733,4160,680,4163,4162,185,29603,4172,4169,139860,4166,4164,24854],"class_list":["post-793950","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-botnet","tag-comment-pirater","tag-condi","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-ddos","tag-detourne","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-routeurs","tag-securite-informatique","tag-securite-internet","tag-tplink","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-wifi"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/793950","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=793950"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/793950\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/793951"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=793950"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=793950"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=793950"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}