Mayhem, un nouveau malware polyvalent écrit dans le langage de programmation Go, se répand dans le monde entier.
« Nous assistons à un malware complexe dont la taille a quadruplé en seulement 2 mois, et il est bien placé pour continuer à accélérer », a déclaré Mark Dehus, directeur du renseignement sur les menaces chez Black Lotus Labs de Lumen.
Polyvalent et puissant
Mayhem est développé pour fonctionner dans de nombreuses architectures , composé d’ARM, Intel (i386), MIPS et PowerPC. Il a été développé pour Windows, Linux et une large gamme de gadgets clients, de routeurs pour petits bureaux/travail à domicile (SOHO) et de serveurs d’entreprise.
Le logiciel malveillant exploite des vulnérabilités reconnues et permet à l’acteur :
- Analysez le système cible pour le profiler pour les futures commandes
- Initiez instantanément le mouvement latéral et la propagation via SecureShell (SSH) en utilisant des clés personnelles qui sont prises ou obtenues en utilisant la force
- Lancer des attaques DDoS et initier du cryptominage
La fréquence des malwares composés en Go a considérablement augmenté ces dernières années en raison de la flexibilité du langage, de la faible les taux de détection des virus et les problèmes de rétro-ingénierie, ont gardé à l’esprit les experts de Black Lotus Labs.
Le malware Turmoil est puissant car il fonctionne sur une gamme d’architectures, cible des gadgets et des systèmes (par exemple, routeurs SOHO et système d’exploitation FreeBDS) qui ne sont pas régulièrement surveillés dans le cadre d’une conception de sécurité d’entreprise gn, et se propage à travers des vulnérabilités connues et des clés SSH qui sont prises ou acquises par la force.
Les logiciels malveillants Turmoil se propagent
À partir de juin, les analystes ont découvert de nombreux clusters Mayhem uniques qui étaient composé en chinois. Les clusters ont tiré parti de l’infrastructure de commande et de contrôle (C2) basée en Chine, qui s’est développée rapidement en août et septembre.
Les infections par des robots du chaos se concentrent principalement en Europe (Italie, France, Espagne, Allemagne), aux États-Unis et Chine.
L’acteur a compromis au moins un serveur GitLab et lancé de nombreuses attaques DDoS contre des entreprises des secteurs des jeux, des services monétaires et de la technologie, des médias/divertissement, de la crypto-monnaie et même des DDoS en tant que service. Les cibles couvraient des organisations des régions EMEA, APAC et Amérique du Nord.
« Le malware Chaos cible les vulnérabilités connues », a ajouté Dehus, « nous conseillons aux administrateurs réseau de pratiquer une gestion rigoureuse des correctifs et d’utiliser les IoC (indicateurs de compromis) énoncées dans notre rapport pour surveiller les infections ou les connexions à une infrastructure suspecte. Les clients et les employés distants doivent autoriser les mises à jour automatisées des applications logicielles, mettre à jour régulièrement les mots de passe et redémarrer le matériel. »
Black Lotus Labs pense que ce malware n’est pas associé au sous-traitant du rançongiciel Chaos découvert en 2021 ; plutôt, le code et les fonctions qui se chevauchent suggèrent qu’il s’agit très probablement du développement de Kaiji, un logiciel malveillant DDoS découvert en 2020.
Toute l’actualité en temps réel, est sur L’Entrepreneur
