Un botnet relativement nouveau basé sur Mirai est de plus en plus sophistiqué et exploite désormais les exploits zero-day pour détecter les failles de sécurité des routeurs industriels et des appareils domestiques intelligents.
L’exploitation de vulnérabilités jusque-là inconnues a commencé en novembre 2024, selon les chercheurs du laboratoire Chainxin X qui ont surveillé le développement et les attaques du botnet.
L’un des problèmes de sécurité est CVE-2024-12856, une vulnérabilité dans les routeurs industriels à quatre croyances que VulnCheck a découverte fin décembre, mais a remarqué des efforts pour l’exploiter vers le 20 décembre.
pour tirer parti des exploits zero-day, nous avons exploité un exploit zero-day pour CVE-2024-12856, affectant les routeurs à quatre foi, ainsi que d’autres exploits personnalisés pour des failles dans les routeurs Neterbit et les appareils Vimar smart home.
Profil du botnet
Le botnet, dont le nom est une référence homophobe, s’appuie également sur des exploits personnalisés pour des vulnérabilités inconnues dans les routeurs Neterbit et les appareils domestiques intelligents Vimar.
Il a été découvert l’année dernière en février et compte actuellement 15 000 nœuds de robots actifs quotidiennement, principalement en Chine, aux États-Unis, en Russie, en Turquie et en Iran.
Son objectif principal semble être de mener des attaques par déni de service distribué (DDoS) sur des cibles spécifiées à des fins lucratives, ciblant des centaines d’entités quotidiennement, avec un pic d’activité en octobre et novembre 2024.
Le malware exploite un mélange d’exploits publics et privés pour plus de 20 vulnérabilités afin de se propager aux appareils exposés à Internet, ciblant les DVR, les routeurs industriels et domestiques et les appareils domestiques intelligents.
Plus précisément, il cible les éléments suivants:
- Routeurs ASUS (via des exploits N-day).
- Routeurs Huawei (via CVE-2017-17215)
- Routeurs Internet (exploit personnalisé)
- Routeurs LB-Link (via CVE-2023-26801)
- Routeurs industriels à quatre croyances (via le jour zéro désormais suivi sous le numéro CVE-2024-12856)
- Caméras PZT (via les numéros CVE-2024-8956 et CVE-2024-8957)
- Enregistreur vidéo numérique Kguard
- Lilin DVR (via des exploits d’exécution de code à distance)
- DVR génériques (en utilisant des exploits comme TVT edit Blackandwhite List RCE)
- Appareils Vimar smart home (utilisant probablement une vulnérabilité non divulguée)
- Divers appareils 5G / LTE (probablement via des erreurs de configuration ou des informations d’identification faibles)
Le botnet dispose d’un module de forçage brutal pour les mots de passe Telnet faibles, utilise un emballage UPX personnalisé avec des signatures uniques et implémente des structures de commande basées sur Mirai pour mettre à jour les clients, analyser les réseaux et mener des attaques DDoS.
X Lab rapporte que les attaques DDoS du botnet sont de courte durée, d’une durée comprise entre 10 et 30 secondes, mais de forte intensité, dépassant 100 Gbps de trafic, ce qui peut entraîner des perturbations même pour les infrastructures robustes.
“Les cibles des attaques sont partout dans le monde et réparties dans divers secteurs”, explique X Lab.
“Les principales cibles des attaques sont réparties en Chine, aux États-Unis, en Allemagne, au Royaume-Uni et à Singapour”, expliquent les chercheurs.
Dans l’ensemble, le botnet démontre une capacité unique à maintenir des taux d’infection élevés sur divers types d’appareils en utilisant des exploits pour les failles n-day et même zero-day.
Les utilisateurs peuvent protéger leurs appareils en suivant la recommandation générale d’installer les dernières mises à jour des appareils du fournisseur, de désactiver l’accès à distance si cela n’est pas nécessaire et de modifier les informations d’identification du compte administrateur par défaut.