{"id":797455,"date":"2023-06-23T07:50:37","date_gmt":"2023-06-23T09:50:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-dextraction-de-crypto-monnaie-cible-les-systemes-linux-et-les-appareils-iot\/"},"modified":"2023-06-23T07:50:41","modified_gmt":"2023-06-23T09:50:41","slug":"une-nouvelle-campagne-dextraction-de-crypto-monnaie-cible-les-systemes-linux-et-les-appareils-iot","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-dextraction-de-crypto-monnaie-cible-les-systemes-linux-et-les-appareils-iot\/","title":{"rendered":"Une nouvelle campagne d&#8217;extraction de crypto-monnaie cible les syst\u00e8mes Linux et les appareils IoT"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">23 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Crypto-monnaie \/ IoT<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les syst\u00e8mes Linux connect\u00e9s \u00e0 Internet et les appareils Internet des objets (IoT) sont cibl\u00e9s dans le cadre d&#8217;une nouvelle campagne con\u00e7ue pour exploiter ill\u00e9galement la crypto-monnaie.<\/p>\n<p>&#8220;Les acteurs de la menace derri\u00e8re l&#8217;attaque utilisent une porte d\u00e9rob\u00e9e qui d\u00e9ploie un large \u00e9ventail d&#8217;outils et de composants tels que des rootkits et un bot IRC pour voler les ressources de l&#8217;appareil pour les op\u00e9rations mini\u00e8res&#8221;, a d\u00e9clar\u00e9 Rotem Sde-Or, chercheur en renseignement sur les menaces chez Microsoft. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/06\/22\/iot-devices-and-linux-based-systems-targeted-by-openssh-trojan-campaign\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;La porte d\u00e9rob\u00e9e installe \u00e9galement une version corrig\u00e9e d&#8217;OpenSSH sur les appareils concern\u00e9s, permettant aux acteurs de la menace de d\u00e9tourner les informations d&#8217;identification SSH, de se d\u00e9placer lat\u00e9ralement au sein du r\u00e9seau et de dissimuler les connexions SSH malveillantes.&#8221;<\/p>\n<p>Pour r\u00e9ussir le sch\u00e9ma, les h\u00f4tes Linux mal configur\u00e9s sont forc\u00e9s brutalement d&#8217;obtenir un acc\u00e8s initial, apr\u00e8s quoi les acteurs de la menace se d\u00e9placent pour d\u00e9sactiver l&#8217;historique du shell et r\u00e9cup\u00e9rer une version trojanis\u00e9e d&#8217;OpenSSH \u00e0 partir d&#8217;un serveur distant.<\/p>\n<p>Le package Rogue OpenSSH est configur\u00e9 pour installer et lancer la porte d\u00e9rob\u00e9e, un script shell qui permet aux attaquants de distribuer des charges utiles suppl\u00e9mentaires et de mener d&#8217;autres activit\u00e9s post-exploitation.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/1686048876_77_Alerte-Zero-Day-Google-publie-un-correctif-pour-la-nouvelle-vulnerabilite.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela inclut l&#8217;exfiltration d&#8217;informations sur l&#8217;appareil, l&#8217;installation de rootkits open source appel\u00e9s <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/m0nad\/Diamorphine\" target=\"_blank\">Diamorphine<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/f0rb1dd3n\/Reptile\" target=\"_blank\">Reptile<\/a> de GitHub, et prenant des mesures pour masquer son activit\u00e9 en effa\u00e7ant les journaux qui pourraient alerter sa pr\u00e9sence.<\/p>\n<p>&#8220;Pour garantir un acc\u00e8s SSH persistant \u00e0 l&#8217;appareil, la porte d\u00e9rob\u00e9e ajoute deux cl\u00e9s publiques aux fichiers de configuration autoris\u00e9s_keys de tous les utilisateurs du syst\u00e8me&#8221;, a d\u00e9clar\u00e9 le fabricant de Windows.<\/p>\n<p>L&#8217;implant cherche \u00e9galement \u00e0 monopoliser les ressources du syst\u00e8me infect\u00e9 en \u00e9liminant les processus de minage cryptographiques concurrents qui peuvent d\u00e9j\u00e0 \u00eatre en cours d&#8217;ex\u00e9cution avant le lancement de son mineur.<\/p>\n<p>De plus, il ex\u00e9cute une version modifi\u00e9e de <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/isdrupter\/ziggystartux\" target=\"_blank\">ZiggyStarTux<\/a>, un client de d\u00e9ni de service distribu\u00e9 (DDoS) bas\u00e9 sur IRC qui est capable d&#8217;ex\u00e9cuter des commandes bash \u00e9mises depuis le serveur de commande et de contr\u00f4le (C2).  Il est bas\u00e9 sur un autre malware botnet appel\u00e9 Kaiten (alias Tsunami).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEi8fGns5_s0Ff7X_M6Au-tebcQar86sofiWV9TwdHO4GMxCF4TtbD6eRfjdHtODF73FCMSTSic8NbdbyJp3QnV-yK6oxrVyPYzE5eyzvs5yZfcl63oxqHzx5ArNeuK_PVhfmpzJPUqaDG-3gszgVV_zzc8kqCWpuakx2gyE_g0UrX-GvemK6JCsJ99LOeM\/s728-e3650\/rootkit.jpg\" alt=\"Syst\u00e8mes Linux et appareils IoT\" border=\"0\" data-original-height=\"563\" data-original-width=\"728\" title=\"Syst\u00e8mes Linux et appareils IoT\"\/><\/div>\n<p>Les attaques, a not\u00e9 le g\u00e9ant de la technologie, exploitent le sous-domaine d&#8217;une institution financi\u00e8re anonyme d&#8217;Asie du Sud-Est pour les communications C2 dans le but de dissimuler le trafic malveillant.<\/p>\n<p>Il convient de souligner que le modus operandi d\u00e9taill\u00e9 par Microsoft chevauche un rapport r\u00e9cent du AhnLab Security Emergency Response Center (ASEC), qui d\u00e9taillait les attaques ciblant les serveurs Linux expos\u00e9s avec des logiciels malveillants de crypto-minage et une variante de botnet Tsunami surnomm\u00e9e Ziggy.<\/p>\n<p>L&#8217;op\u00e9ration a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur nomm\u00e9 asterzeu, qui a propos\u00e9 la bo\u00eete \u00e0 outils \u00e0 la vente sur le march\u00e9 des logiciels malveillants en tant que service.  &#8220;La complexit\u00e9 et la port\u00e9e de cette attaque sont r\u00e9v\u00e9latrices des efforts d\u00e9ploy\u00e9s par les attaquants pour \u00e9chapper \u00e0 la d\u00e9tection&#8221;, a d\u00e9clar\u00e9 Sde-Or.<\/p>\n<p>Le d\u00e9veloppement intervient alors que plusieurs failles de s\u00e9curit\u00e9 connues dans les routeurs, les enregistreurs vid\u00e9o num\u00e9riques et d&#8217;autres logiciels de r\u00e9seau sont activement exploit\u00e9s par des acteurs de la menace pour d\u00e9ployer le malware du botnet Mirai, selon <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/cve-2023-26801-exploited-spreading-mirai-botnet\" target=\"_blank\">Akama\u00ef<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/mirai-variant-targets-iot-exploits\/\" target=\"_blank\">Palo Alto R\u00e9seaux Unit\u00e9 42<\/a>.<\/p>\n<p>&#8220;Le botnet Mirai, d\u00e9couvert en 2016, est toujours actif aujourd&#8217;hui&#8221;, ont d\u00e9clar\u00e9 des chercheurs d&#8217;Uni 42.  &#8220;Une partie importante de la raison de sa popularit\u00e9 parmi les acteurs de la menace r\u00e9side dans les failles de s\u00e9curit\u00e9 des appareils IoT.&#8221;<\/p>\n<p>&#8220;Ces vuln\u00e9rabilit\u00e9s d&#8217;ex\u00e9cution de code \u00e0 distance ciblant les appareils IoT pr\u00e9sentent une combinaison de faible complexit\u00e9 et d&#8217;impact \u00e9lev\u00e9, ce qui en fait une cible irr\u00e9sistible pour les acteurs de la menace.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/new-cryptocurrency-mining-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80223 juin 2023\ue804Ravie LakshmananCrypto-monnaie \/ IoT Les syst\u00e8mes Linux connect\u00e9s \u00e0 Internet et les appareils Internet des objets (IoT) sont cibl\u00e9s dans le cadre d&#8217;une nouvelle campagne con\u00e7ue pour exploiter ill\u00e9galement la crypto-monnaie. &#8220;Les acteurs de la menace derri\u00e8re l&#8217;attaque utilisent une porte d\u00e9rob\u00e9e qui d\u00e9ploie un large \u00e9ventail d&#8217;outils et de composants tels que [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":797456,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8737,2930,7087,4168,1966,4158,4165,4161,51145,21708,4157,4159,4171,4170,65,18088,4167,4160,197,4163,4162,4172,4169,5046,196,4166,4164],"class_list":["post-797455","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-appareils","tag-campagne","tag-cible","tag-comment-pirater","tag-cryptomonnaie","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dextraction","tag-iot","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-systemes","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/797455","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=797455"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/797455\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/797456"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=797455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=797455"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=797455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}