Plusieurs botnets malveillants ciblent activement les vulnérabilités Cacti et Realtek dans les campagnes détectées entre janvier et mars 2023, propageant les logiciels malveillants ShellBot et Moobot.
Les failles ciblées sont CVE-2021-35394, une vulnérabilité critique d’exécution de code à distance dans Realtek Jungle SDK, et CVE-2022-46169, une faille critique d’injection de commande dans l’outil de surveillance de la gestion des pannes Cacti.
Les deux failles ont été exploitées par d’autres logiciels malveillants de botnet dans le passé, notamment Fodcha, RedGoBot, Mirai, Gafgyt et Mozi.
Fortinet rapporte que le volume de l’activité malveillante en 2023 est important, ciblant les périphériques réseau exposés pour les enrôler dans des essaims DDoS (déni de service distribué).
Bien que le rapport de Fortinet n’indique pas explicitement si les mêmes acteurs de la menace propagent Moobot et ShellBot, des charges utiles ont été observées exploitant les mêmes failles dans des rafales d’attaques qui se chevauchent.
Infections Moobot
Moobot, une variante de Mirai, a été découverte pour la première fois en décembre 2021, ciblant les caméras Hikvision. En septembre 2022, il a été mis à jour pour cibler plusieurs failles D-Link RCE.
Actuellement, il cible CVE-2021-35394 et CVE-2022-46169 pour infecter les hôtes vulnérables, puis télécharge un script contenant sa configuration et établit une connexion avec le serveur C2.
Moobot continue d’échanger des messages de pulsation jusqu’à ce qu’il reconnaisse une commande entrante, c’est-à-dire lorsqu’il lance son attaque.
Une caractéristique notable des nouvelles versions de Moobot est leur capacité à rechercher et à tuer les processus d’autres bots connus afin qu’ils puissent récolter la puissance matérielle maximale de l’hôte infecté pour lancer des attaques DDoS.
Attaques ShellBot
ShellBot a été repéré pour la première fois en janvier 2023 et continue d’être actif aujourd’hui, ciblant principalement la faille Cacti. Fortinet a capturé trois variantes de logiciels malveillants, indiquant qu’il est activement développé.
La première variante établit la communication avec le C2 et attend la réception d’une des commandes suivantes :
- ps – effectuer une analyse de port sur la cible et le port spécifiés
- nmap – effectuer une analyse de port Nmap sur une plage de ports spécifiée
- rm – supprimer des fichiers et des dossiers
- version – envoyer les informations de version
- vers le bas – télécharger un fichier
- udp – lancer une attaque UDP DDoS
- retour – injecter une coque inversée
La deuxième variante de ShellBot, qui est apparue pour la première fois en mars 2023 et compte déjà des centaines de victimes, propose un ensemble de commandes beaucoup plus étendu, comme indiqué ci-dessous :
Fait intéressant, le logiciel malveillant comporte un module d’amélioration des exploits qui regroupe les actualités et les avis publics de PacketStorm et milw0rm.
L’action recommandée pour se défendre contre Mootbot et ShellBot est d’utiliser des mots de passe administrateur forts et d’appliquer les mises à jour de sécurité qui corrigent les vulnérabilités mentionnées.
Si votre appareil n’est plus pris en charge par son fournisseur, il doit être remplacé par un modèle plus récent pour recevoir les mises à jour de sécurité.