Le ver Gitpaste-12 augmente son nombre d’exploits

Le ver Gitpaste-12 est de retour dans de nouvelles attaques ciblant les applications Web, les caméras IP et les routeurs, cette fois avec un ensemble étendu d’exploits pour les appareils initialement compromis.

Découvert pour la première fois lors d’une série d’attaques de fin Octobre qui ciblaient des serveurs Linux et des appareils IoT, le botnet utilise GitHub et Pastebin pour héberger le code de composant malveillant, possède au moins 12 modules d’attaque différents et inclut un crypto-mineur qui cible la crypto-monnaie Monero.

Désormais, les chercheurs ont découvert une nouvelle série d’attaques du malware, depuis le 10 novembre, qui utilisait un référentiel GitHub différent pour cibler les applications Web, les caméras IP, les routeurs, etc. La campagne avait été arrêtée le 27 octobre après la suppression du référentiel GitHub hébergeant les charges utiles du ver.

«La vague d’attaques a utilisé des charges utiles d’un autre référentiel GitHub, qui contenait un crypto-mineur Linux (‘ls’), une liste de mots de passe pour les tentatives de force brute (‘pass’) et un interpréteur Python 3.9 de provenance inconnue,» ont déclaré les chercheurs de Juniper Threat Labs dans une analyse de Gitpaste-12.

gitpaste

La première phase de compromission initial du système exploite toujours les vulnérabilités précédemment révélées. Cependant, un nouvel échantillon découvert dans le référentiel d’attaque initial de Gitpaste-12 montre que le ver a élargi la portée de ces vecteurs d’attaque.

Les nouveautés de Gitpaste-12

Le fichier X10-unix, est un binaire packé avec UPX et écrit dans le langage de programmation Go, compilé pour les systèmes Linux x86_64. Les chercheurs ont découvert que ce binaire abritait des exploits pour au moins 31 vulnérabilités connues, dont seulement sept ont également été observées dans le précédent échantillon de Gitpaste-12.

Nombre de ces vulnérabilités ciblées sont nouvelles, certaines ayant été révélées récemment en Septembre. L’une des failles ciblées est un problème d’exécution de commande à distance dans vBulletin (CVE-2020-17496); tandis qu’une autre faille se trouve dans les routeurs Tenda (CVE-2020-10987) et permet aux attaquants distants d’exécuter des commandes arbitraires.

Gitpaste-12 tente désormais également de compromettre les connexions ouvertes de Android Debug Bridge et les portes dérobées de logiciels malveillants existants, ont déclaré les chercheurs. Android Debug Bridge est un outil de ligne de commande qui permet aux utilisateurs de communiquer avec un appareil.

malware

Une fois qu’un exploit réussi a été exécuté, le logiciel malveillant installe le logiciel de crypto-minage de Monero, installe la version appropriée du ver et dépose une porte dérobée pour écouter les ports 30004 et 30006. Le port 30004 utilise le protocole de contrôle de transmission (TCP), qui est l’un des principaux protocoles dans les réseaux TCP/IP; tandis que le port 30005 utilise le protocole bidirectionnel SOAP/HTTP, qui fournit une communication entre des périphériques tels que des routeurs ou des switchs et des serveurs à configuration automatique.

En cas de connexion réussie, l’échantillon de logiciel malveillant exécute un script qui télécharge un binaire natif codé en base64 («blu»). Les chercheurs ont déclaré que le binaire Blu sonde le matériel Bluetooth de l’appareil et installe un APK Android codé en base64 (“weixin.apk”).

L’APK envoie ensuite l’adresse IP de l’appareil sur Pastebin, puis télécharge et installe un port de CPU ARM de X10-unix.

“Bien qu’il soit difficile de déterminer l’ampleur ou l’efficacité de cette campagne de logiciels malveillants, en partie parce que Monero – contrairement à Bitcoin – n’a pas de transactions publiquement traçables, JTL peut confirmer que plus d’une centaine d’hôtes distincts ont été observés en train de propager l’infection”, ont déclaré les chercheurs.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires