DarkCrewFriends est de retour avec une stratégie de botnet

Le groupe de hackers DarkCrewFriends a refait surface et vise des systèmes de gestion de contenu pour construire un botnet. Le botnet peut être mis en service pour mener à bien diverses activités criminelles, notamment des attaques par déni de service distribué (DDoS), l’exécution de commandes, l’exfiltration d’informations ou le sabotage d’un système infecté.

Les chercheurs en sécurité informatique ont déclaré avoir observé que DarkCrewFriends exploitait une vulnérabilité de téléchargement de fichiers sans restriction pour compromettre les serveurs PHP des sites Web. Après l’exploit, un shell Web PHP malveillant est installé en tant que porte dérobée, qui à son tour établit une connexion à un serveur de commande et de contrôle (C2) à l’aide d’un canal IRC (Internet Relay Chat), selon les chercheurs de Check Point, Liron Yosefian et Ori Hamama.

botnet ddg

“De nombreuses applications permettent aux utilisateurs de télécharger certains fichiers sur leurs serveurs, tels que des images ou des documents”, ont expliqué les chercheurs dans un article de blog. «Ces fichiers peuvent mettre le système en danger s’ils ne sont pas correctement gérés. Un attaquant distant peut envoyer une requête spécialement conçue à un serveur vulnérable et télécharger un fichier sans restriction tout en contournant la vérification d’extension de fichier du serveur. Cela peut éventuellement entraîner l’exécution de code arbitraire sur le système affecté. »

L’exploit pour cette vulnérabilité ciblée est un zero-day qui a été créé et publié par DarkCrewFriends, selon Check Point.

Comment s’y prend DarkCrewFriends?

Le shell Web sur le serveur de la victime définit soit un paramètre GET appelé ‘osc’ ou un paramètre GET appelé ‘anon’, et exécute une chaîne de caractère base64 décompressée, selon l’analyse. Lorsque les chercheurs ont décodé la chaîne de caractère, ils ont découvert des commandes pour télécharger et exécuter deux fichiers avec l’extension ‘.AFF’. Les fichiers ‘.AFF’ sont un type de fichier dictionnaire de vérification orthographique utilisé par Kingsoft WPS Office et Apache OpenOffice, qui sont des applications gratuites de la suite Office.

darkcrewfriends

“Lorsque nous avons téléchargé les deux fichiers .AFF, nous avons vu que ces fichiers étaient en fait des fichiers PHP et Perl”, ont expliqué les chercheurs. “La dissimulation de l’extension de fichier est utilisée pour éviter la détection.”

Ces fichiers sont tous deux des variantes du module principal de malware, qui a un large éventail de capacités, y compris la possibilité d’exécuter des commandes shell; recueillir des informations sur l’exécution des services sur l’ordinateur hôte; télécharger ou envoyer des fichiers FTP; analyser les ports ouverts et mener plusieurs types d’attaques DDoS (y compris UDP et TCP, HTTP flood, IRC CTCP flood et plus).

“Les pirates informatiques créent un réseau de botnets en utilisant le protocole IRC pour infecter les serveurs connectés”, ont expliqué les analystes. “Cela leur fournit un outil d’attaque plus puissant et est également utilisé dans les services de trafic qu’ils vendent.”

Aucun des fichiers binaires malveillants n’avaient été envoyé sur Virus Total, ont ajouté les chercheurs en sécurité informatique.

«En suivant les différents scénarios et méthodes d’attaque… nous concluons que l’impact sur l’infrastructure de la victime peut être grave et avoir des répercussions importantes», ont conclu Yosefian et Hamama.

Si cet article vous a plu, jetez un œil à notre article précédent.