Microsoft affirme que les appareils Linux et Internet des objets (IoT) exposés à Internet sont détournés lors d’attaques par force brute dans le cadre d’une campagne de cryptojacking récemment observée.
Après avoir accédé à un système, les attaquants déploient un package OpenSSH contenant un cheval de Troie qui les aide à déjouer les appareils compromis et à voler les informations d’identification SSH pour maintenir la persistance.
« Les correctifs installent des crochets qui interceptent les mots de passe et les clés des connexions SSH de l’appareil, que ce soit en tant que client ou serveur », a déclaré Microsoft.
« De plus, les correctifs permettent la connexion root via SSH et dissimulent la présence de l’intrus en supprimant la journalisation des sessions SSH des acteurs de la menace, qui se distinguent par un mot de passe spécial. »
Le script shell de porte dérobée déployé en même temps que le binaire OpenSSH trojanisé ajoutera deux clés publiques au fichier authorized_keys pour un accès SSH persistant.
Il permet en outre aux acteurs de la menace de récolter des informations système et d’installer les rootkits LKM open source Reptile et Diamorphine pour masquer les activités malveillantes sur les systèmes piratés.
Les acteurs de la menace utilisent également la porte dérobée pour éliminer d’autres mineurs en ajoutant de nouvelles règles et entrées iptables à /etc/hosts pour supprimer le trafic vers les hôtes et les adresses IP utilisées par les concurrents de cryptojacking de l’opération.
« Il identifie également les processus et les fichiers des mineurs par leurs noms et les termine ou bloque leur accès, et supprime l’accès SSH configuré dans les clés autorisées par d’autres adversaires », a déclaré Microsoft.
Une version du bot IRC open source ZiggyStarTux également déployée dans l’attaque est dotée de capacités de déni de service distribué (DDoS) et permet aux opérateurs d’exécuter des commandes bash.
Le logiciel malveillant de porte dérobée utilise plusieurs techniques pour assurer sa persistance sur les systèmes compromis, en dupliquant le binaire sur plusieurs emplacements de disque et en créant des tâches cron pour l’exécuter périodiquement.
De plus, il enregistre ZiggyStarTux en tant que service systemd, configurant le fichier de service dans /etc/systemd/system/network-check.service.
Le trafic de communication C2 entre les bots ZiggyStarTux et les serveurs IRC est camouflé à l’aide d’un sous-domaine appartenant à une institution financière légitime d’Asie du Sud-Est hébergée sur l’infrastructure de l’attaquant.
Lors de l’enquête sur la campagne, Microsoft a vu les bots recevoir l’instruction de télécharger et d’exécuter des scripts shell supplémentaires pour forcer brutalement chaque hôte en direct dans le sous-réseau de l’appareil piraté et déjouer tous les systèmes vulnérables utilisant le package OpenSSH trojanisé.
Après s’être déplacé latéralement au sein du réseau de la victime, l’objectif final des attaquants semble être l’installation de logiciels malveillants de minage ciblant les systèmes d’exploitation Hiveon basés sur Linux et conçus pour le minage de cryptomonnaies.
« La version modifiée d’OpenSSH imite l’apparence et le comportement d’un serveur OpenSSH légitime et peut donc poser un plus grand défi pour la détection que d’autres fichiers malveillants », a déclaré Microsoft.
« L’OpenSSH corrigé pourrait également permettre aux acteurs de la menace d’accéder à des appareils supplémentaires et de les compromettre. Ce type d’attaque démontre les techniques et la persistance des adversaires qui cherchent à infiltrer et à contrôler les appareils exposés. »