Une nouvelle variante du célèbre botnet Mirai a été découverte en exploitant plusieurs vulnérabilités de sécurité pour se propager aux appareils Linux et IoT.
Observée au cours du second semestre 2022, la nouvelle version a été baptisée V3G4 par l’unité 42 de Palo Alto Networks, qui a identifié trois campagnes différentes probablement menées par le même acteur menaçant.
« Une fois que les appareils vulnérables seront compromis, ils seront entièrement contrôlés par les attaquants et feront partie du botnet », ont déclaré les chercheurs de l’Unité 42. « L’auteur de la menace a la capacité d’utiliser ces appareils pour mener d’autres attaques, telles que des attaques par déni de service distribué (DDoS) ».
Les attaques ciblent principalement les serveurs exposés et les périphériques réseau exécutant Linux, l’adversaire militarisant jusqu’à 13 failles pouvant conduire à l’exécution de code à distance (RCE).
Certaines des failles notables concernent des failles critiques dans Atlassian Confluence Server and Data Center, les routeurs DrayTek Vigor, Airspan AirSpot et les caméras IP Geutebruck, entre autres. Le défaut le plus ancien de la liste est CVE-2012-4869, un bogue RCE dans FreePBX.
Suite à une compromission réussie, la charge utile du botnet est récupérée à partir d’un serveur distant à l’aide des utilitaires wget et cURL.
Le botnet, en plus de vérifier s’il est déjà en cours d’exécution sur la machine infectée, prend également des mesures pour mettre fin à d’autres botnets concurrents tels que Mozi, Okami et Yakuza.
V3G4 contient en outre un ensemble d’identifiants de connexion par défaut ou faibles qu’il utilise pour mener des attaques par force brute via Telnet/SSH et proliférer sur d’autres machines.
Il établit également un contact avec un serveur de commande et de contrôle pour attendre les commandes de lancement d’attaques DDoS contre des cibles via les protocoles UDP, TCP et HTTP.
« Les vulnérabilités mentionnées ci-dessus ont moins de complexité d’attaque que les variantes précédemment observées, mais elles maintiennent un impact critique sur la sécurité qui peut conduire à l’exécution de code à distance », ont déclaré les chercheurs.
Pour éviter de telles attaques, il est recommandé aux utilisateurs d’appliquer les correctifs et les mises à jour nécessaires au fur et à mesure qu’ils deviennent applicables, et de sécuriser les appareils avec des mots de passe forts.