GoTitan : une vulnérabilité récente d’Apache ActiveMQ exploitée

Les attaques impliquent l’exploitation d’un bogue d’exécution de code à distance (CVE-2023-46604, CVSS score : 10.0) qui a été utilisé par diverses équipes de pirates, y compris le Lazarus Group, au cours des dernières semaines.

Après une intrusion réussie, les acteurs de la menace ont été observés en train de déposer des charges utiles d’étape suivante à partir d’un serveur distant, dont GoTitan, un botnet conçu pour orchestrer des attaques par déni de service distribué (DDoS) via des protocoles tels que HTTP, UDP, TCP et TLS.

« L’attaquant ne fournit que des binaires pour les architectures x64, et le logiciel malveillant effectue certaines vérifications avant de s’exécuter », a déclaré Cara Lin, chercheuse au Fortiguard Labs de Fortinet, dans une analyse publiée mardi.

« Il crée également un fichier nommé ‘c.log’ qui enregistre le temps d’exécution et l’état du programme. Ce fichier semble être un journal de débogage pour le développeur, ce qui suggère que GoTitan est encore à un stade précoce de développement. »

Fortinet a également observé des cas où les serveurs Apache ActiveMQ sensibles sont ciblés pour déployer un autre botnet DDoS appelé Ddostf, le logiciel malveillant Kinsing pour le cryptojacking et un cadre de commande et de contrôle (C2) appelé Sliver.

Un autre logiciel malveillant notable est un cheval de Troie d’accès à distance appelé PrCtrl Rat qui établit un contact avec un serveur C2 pour recevoir des commandes supplémentaires à exécuter sur le système, récolter des fichiers, et télécharger des fichiers depuis et vers le serveur.

« À l’heure où nous écrivons ces lignes, nous n’avons encore reçu aucun message du serveur, et le motif de la diffusion de cet outil n’est pas clair », a déclaré M. Lin. « Cependant, une fois qu’il s’est infiltré dans l’environnement d’un utilisateur, le serveur distant prend le contrôle du système.