Un logiciel malveillant unique et multiplateforme a contaminé des centaines d’appareils, comprenant des systèmes Linux et Windows, des routeurs grand public et des serveurs de grandes entreprises, en seulement quelques mois, ont révélé des chercheurs de Black Lotus Labs dans un rapport mercredi.
Le malware basé sur Go, appelé « Chaos », est plus que probablement contrôlé par une star du risque chinoise. Les chercheurs ont découvert que son code était écrit en chinois et qu’il avait été introduit à partir de serveurs de commande et de contrôle basés en Chine.
Les cibles de Mayhem sont réparties dans le monde entier et les serveurs de mise en scène interconnectés utilisés pour exécuter les logiciels malveillants augmentent rapidement, totalisant jusqu’à plus de 100 en seulement 6 mois. Des points chauds d’activité ont été découverts principalement en Europe, mais également en Amérique du Nord et du Sud, en plus de la région Asie-Pacifique.
« Nous considérons avec une confiance modérée que cette activité est l’œuvre d’une star du cybercriminel qui cultive une réseau de gadgets contaminés pour profiter de l’accès préliminaire, des attaques DDoS et de l’extraction de crypto », a déclaré Black Lotus Labs.
Le logiciel malveillant « Swiss Army Knife »
Après avoir évalué environ 100 échantillons de Mayhem trouvés de juin à la mi-juillet, les chercheurs de Black Lotus Labs ont déclaré qu’il se propage généralement en utilisant des vulnérabilités comprises et non corrigées ainsi que des secrets de cryptage de fichiers piratés et volés.
La polyvalence de Chaos c’est ce qui le rend particulièrement dérangeant. « Les performances de Turmoil consistent en la capacité de mentionner l’environnement hôte, d’exécuter des commandes shell distantes, de charger des modules supplémentaires, de se propager instantanément par le vol et la brute nécessitant des clés personnelles SSH, en plus de lancer des attaques DDoS », ont écrit les chercheurs.
L’équipe de Black Lotus a observé que Chaos était utilisé pour lancer des attaques DDoS contre des organisations des secteurs du jeu vidéo, des services financiers, du divertissement, des médias et de l’hébergement. Ils ont également vu Turmoil cibler un échange de crypto-minage et, ironiquement, des fournisseurs de services DDoS-as-a-service.
Turmoil peut « fonctionner sur de nombreuses architectures ; comprenant : ARM, Intel (i386)m MIPS et PowerPC », ainsi que les systèmes d’exploitation largement utilisés Windows et Linux. Des vulnérabilités spécifiques utilisées par Chaos affectent les programmes de pare-feu vendus par Huawei, ainsi que les équipements réseau vendus par F5.
Les scientifiques de Black Lotus pensent que Chaos est une évolution de Kaiji, un malware DDoS qui a fait surface en 2020. les logiciels malveillants sont distincts d’un générateur de rançongiciels également connu sous le nom de Chaos.
Recommandations de sécurité
Les logiciels malveillants de haut niveau alimentés par des botnets zombies d’appareils piratés, comme l’ancien « Emotet » et plus encore l’actuel « RSOCKS » représente un risque de sécurité global.
Black Lotus Labs a présenté les suggestions de sécurité suivantes pour les services de cybersécurité, les clients disposant de petits routeurs de bureau et de bureau SOHO, et les employés distants ;
- Les protecteurs de réseau doivent rapidement repérer les vulnérabilités des applications logicielles à l’aide des avertissements techniques expliqués dans le rapport
- Les consommateurs disposant de routeurs de bureau et de petite entreprise doivent suivre les options EDR sur les hôtes et redémarrer fréquemment leurs routeurs, tout en s’assurant ils sont upgra ded
- Les employés distants doivent utiliser des mots de passe compliqués au lieu de ceux par défaut, désactiver l’accès racine à distance sur les appareils lorsque cela est possible et stocker les clés de cryptage SSH uniquement lorsque cela est nécessaire
- Les organisations doivent penser au service d’accès sécurisé Edge (SASE) et défense DDoS
Apprenez-en plus sur les méthodes de piratage utilisées par les stars du danger de niveau élite dans notre guide sur les botnets.
Toute l’actualité en temps réel, est sur L’Entrepreneur
