Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .
Dans un rapport publié le 3 octobre 2023, les chercheurs de NSFOCUS ont annoncé l’identification de 3 variantes du botnet Mirai, référencées hailBot, kiraiBot and catDDoS.
La variante hailBot
La variante hailBot est développée à partir du code source de Mirai, et son nom est dérivé de la chaîne d’information hail china mainland émise après son exécution. La distribution du botnet s’effectuerait via les vulnérabilités CVE-2017-17215 (score cvss : 8.8)et CVE-2017-11882 (score cvss : 7.8), mais aussi par Brute Force. Parmi les modifications observées, les chercheurs de NSFOCUS ont identifié que le go-live data packet avait été modifié sur la variante hailBot. La variante observée prend en charge 4 méthodes d’attaque DDoS basées sur les protocoles TCP et UDP. D’après NSFOCUS, le botnet se concentre toujours sur des attaques exploratoires de test, mais son nombre de serveurs C2 actifs continue d’augmenter.
La variante kiraiBot
La variante kiraiBot s’inspire elle aussi du code source de Mirai et incorpore une nouvelle structure de code avec de nombreux éléments de conception personnelle. Son nom provient de la chaîne d’information kirai dans l’échantillon. La distribution de kiraiBot s’effectue via le port 23 par le biais d’une analyse de mots de passe faibles. La version actuelle de kiraiBot prend en charge 6 modes d’attaque DDoS.
La variante catDDoS
La variante catDDoS introduit l’algorithme ChaCha20 sur la base du code source de Mirai pour chiffrer et stocker certaines informations clés. Les investigations de NSFOCUS montrent que la variante catDDoS est activement exploitée par les acteurs de la menace, et que la fréquence d’émission des commandes est relativement élevée. 58 % des cibles des attaques de catDDoS sont situées en Chine, suivie par les États-Unis (25 %).
La publication des codes sources de botnets participe à la prolifération des acteurs les exploitant. Une fois en possession du code source, les acteurs de la menace cherchent à améliorer la furtivité du malware, en introduisant notamment de nouveaux algorithmes de chiffrement et une liaison d’IP malveillantes à des domaines bénins à l’aide de ClouDNS pour échapper à la détection.
Indicateurs de compromission
ipv4:34[.]147[.]16[.]24
ipv4:34[.]165[.]70[.]211
ipv4:34[.]176[.]112[.]249
ipv4:34[.]64[.]52[.]239
ipv4:34[.]69[.]75[.]60
ipv4:34[.]92[.]28[.]223
ipv4:35[.]188[.]240[.]127
ipv4:5[.]181[.]80[.]115
ipv4:5[.]181[.]80[.]120
ipv4:5[.]181[.]80[.]70
ipv4:5[.]181[.]80[.]71
ipv4:139[.]177[.]197[.]168
ipv4:212[.]118[.]43[.]167
ipv4:77[.]105[.]138[.]202
ipv4:84[.]54[.]47[.]93
ipv4:88[.]218[.]62[.]22
ipv4:179[.]43[.]155[.]231
file:33ea03c6fdb4bcd826f99ca7ae8b5907
file:12fe77575c11b698501e2068810823a4
file:3f30a468b56c5761e346f3e709fd098e
Références
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article