Des chercheurs de l’unité 42 de Palo Alto Networks ont repéré une nouvelle variante du tristement célèbre botnet Mirai, se propageant aux serveurs Linux et aux appareils IoT afin de créer un énorme essaim de DDoS (s’ouvre dans un nouvel onglet) grognements.
Afin d’infecter les terminaux avec le nouveau botnet V3G4, les attaquants utiliseraient des informations d’identification telnet/SSH par force brute ou par défaut, puis abuseraient de l’une des 13 vulnérabilités connues pour exécuter du code à distance et installer le logiciel malveillant.
Jusqu’à présent, entre juillet 2022 et décembre 2022, les chercheurs ont repéré trois campagnes différentes, qui semblent toutes provenir du même acteur menaçant. Le raisonnement ici est que les domaines C2 codés en dur contiennent la même chaîne dans les trois, les téléchargements de scripts shell sont similaires et les clients botnet auraient tous des fonctionnalités similaires.
Lutte contre d’autres botnets
Le botnet est livré avec un certain nombre de fonctionnalités intéressantes, dont une dans laquelle il tente de mettre fin, entre autres processus, à ceux appartenant à d’autres familles de botnets. Ainsi, il est prudent de supposer que les acteurs de la menace tentent de détourner les terminaux déjà compromis d’autres acteurs de la menace.
De plus, contrairement aux autres variantes de Mirai qui n’utilisent qu’une seule clé de cryptage XOR, V3G4 en utilise quatre, ce qui rend plus difficile pour les chercheurs en cybersécurité la rétro-ingénierie du malware.
La meilleure façon de se protéger contre V3G4 est de s’assurer que vos points de terminaison sous Linux sont à jour et invulnérables non seulement aux 13 failles exploitées dans ces campagnes, mais également à toute autre faille connue de la communauté cybercriminelle au sens large.
Outre les correctifs, disposer d’un pare-feu puissant, ainsi que d’une solution de cybersécurité, aidera à se défendre contre toute tentative de déploiement de logiciels malveillants.
Les appareils Linux, aussi répandus soient-ils, sont une cible populaire pour les acteurs de la menace qui cherchent à créer et à développer un botnet. Tout, des routeurs aux caméras domestiques en passant par les appareils domestiques intelligents, peut être utilisé comme un bot et déployé dans des attaques par déni de service distribué.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)