Attaque DDoS massive basée sur Mirai exploitant des failles de type « jour zéro »

« La charge utile cible les routeurs et les enregistreurs vidéo de réseau (NVR) avec des identifiants d’administrateur par défaut et installe des variantes de Mirai en cas de succès « , a déclaré Akamai dans un avis publié cette semaine.

Les détails des failles sont actuellement gardés secrets afin de permettre aux deux fournisseurs de publier des correctifs et d’empêcher d’autres acteurs de la menace d’en abuser. Les correctifs pour l’une des vulnérabilités devraient être livrés le mois prochain.

Les attaques ont été découvertes pour la première fois par l’entreprise de sécurité et d’infrastructure web sur ses pots de miel à la fin du mois d’octobre 2023. Les auteurs des attaques n’ont pas encore été identifiés.

Le botnet, qui a reçu le nom de code InfectedSlurs en raison de l’utilisation d’un langage racial et offensant dans les serveurs de commande et de contrôle (C2) et les chaînes de caractères codées en dur, est une variante du logiciel malveillant JenX Mirai qui a été révélée en janvier 2018.

Akamai a déclaré avoir également identifié d’autres échantillons de logiciels malveillants qui semblaient liés à la variante hailBot de Mirai, cette dernière étant apparue en septembre 2023, selon une analyse récente de NSFOCUS.

Le hailBot est développé à partir du code source de Mirai, et son nom est dérivé de la chaîne d’information « hail china mainland » produite après l’exécution », a indiqué l’entreprise de cybersécurité basée à Pékin, détaillant sa capacité à se propager via l’exploitation de vulnérabilités et de mots de passe faibles.
Ce développement intervient alors qu’Akamai a présenté un shell web appelé wso-ng, une  » itération avancée  » de WSO (abréviation de  » web shell by oRb « ) qui s’intègre à des outils légitimes tels que VirusTotal et SecurityTrails tout en dissimulant furtivement son interface de connexion derrière une page d’erreur 404 lors d’une tentative d’accès.

L’une des capacités de reconnaissance notables du web shell consiste à récupérer les métadonnées AWS en vue d’un déplacement latéral ultérieur, ainsi qu’à rechercher des connexions potentielles à la base de données Redis afin d’obtenir un accès non autorisé aux données sensibles de l’application.

« Les shells web permettent aux attaquants d’exécuter des commandes sur des serveurs afin de voler des données ou d’utiliser le serveur comme rampe de lancement pour d’autres activités telles que le vol d’informations d’identification, le déplacement latéral, le déploiement de charges utiles supplémentaires ou l’activité au clavier, tout en permettant aux attaquants de persister dans une organisation affectée », a déclaré Microsoft en 2021.

L’utilisation de shells web prêts à l’emploi est également considérée comme une tentative par les acteurs de la menace de défier les efforts d’attribution et de passer sous le radar, une caractéristique clé des groupes de cyberespionnage qui se spécialisent dans la collecte de renseignements. Une autre tactique courante adoptée par les attaquants est l’utilisation de domaines compromis mais légitimes à des fins de C2 et de distribution de logiciels malveillants.

En août 2023, Infoblox a révélé une attaque de grande envergure impliquant des sites web WordPress compromis qui redirigent conditionnellement les visiteurs vers des domaines intermédiaires C2 et DDGA (dictionary domain generation algorithm). Cette activité a été attribuée à un acteur de la menace nommé VexTrio.