Dans un monde où la cybersécurité demeure un enjeu majeur pour les entreprises et les particuliers, la découverte récente par des chercheurs du nouveau botnet nommé Zergeca souligne l’importance croissante de la protection des systèmes informatiques. Cette infrastructure malveillante, développée en Golang et dotée de capacités impressionnantes de DDoS (Attaque par Déni de Service Distribué), représente une menace sérieuse dont il faut se prémunir.
Analyse technique du botnet Zergeca
Composition et fonctionnalités
Zergeca n’est pas qu’un simple botnet pour DDoS. Le rapport de QiAnXin XLab révèle qu’il supporte diverse méthodes d’attaque et est capable de proxying, de scanning, de mise à jour automatique, de persistance, de transfert de fichiers, de création de shell inverse et de collecte d’informations sur les dispositifs infectés. Les techniques utilisées, telles que le DNS-over-HTTPS (DoH) pour la résolution des noms de domaine des serveurs de commande et de contrôle (C2) et une bibliothèque peu connue nommée Smux pour les communications C2, démontrent une sophistication technique élevée.
Evolution et propagation
Actif dans le développement, le groupe derrière Zergeca update constamment le malware pour intégrer de nouvelles fonctionnalités. L’adresse IP du C2, 84.54.51[.]82, a été impliquée dans la distribution du botnet Mirai en septembre 2023, laissant supposer que les acteurs de la menace ont une certaine expertise accumulée avec les botnets de Mirai. Les attaques effectuées par Zergeca, principalement des attaques du type ACK flood DDoD, ont ciblé des pays comme le Canada, l’Allemagne et les États-Unis de début à mi-juin 2024.
Structure et modules du botnet
Modules de persistance et proxy
Le botnet Zergeca est structuré en quatre modules principaux. Le module de persistance permet l’ajout d’un service système pour assurer la survie du malware après les redémarrages du dispositif infecté. Le module proxy sert d’intermédiaire pour faciliter les communications du réseau infecté avec d’autres réseaux tout en préservant l’anonymat.
Modules silivaccine et zombie
Le module silivaccine est conçu pour nettoyer le dispositif des logiciels malveillants concurrents, assurant ainsi un contrôle exclusif sur les dispositifs infectés. Le module zombie, quant à lui, est essentiel pour l’exécution des principales fonctionnalités du botnet, telles que la transmission d’informations sensibles vers le serveur C2, et l’attente de nouvelles commandes pour lancer des attaques DDoS ou d’autres actions malicieuses.
Cette étude de cas sur Zergeca souligne la nécessité pour les entreprises de se doter de solutions de protection contre les DDoS et de gestion de la menace persistante. Chez CyberCare, nous proposons des services de protection contre les menaces cybernétiques continuellement mis à jour pour défendre contre les dernières tactiques et infrastructures malveillantes telles que Zergeca.