Un nouveau botnet identifié dans la nature exploite près d’une douzaine d’exploits pour des vulnérabilités élevées et de gravité critique contre les systèmes Windows pour les transformer en clients de cryptomining et en sources d’attaques par déni de service distribué (DDoS).

Les auteurs ont donné au malware le nom Satan DDoS mais les chercheurs en sécurité l’appellent Lucifer, pour le distinguer de la menace du rançongiciel Satan.

Le botnet a attiré l’attention des chercheurs de l’unité de Palo Alto Networks à la suite de plusieurs incidents impliquant l’exploitation de CVE-2019-9081, une vulnérabilité critique dans un composant du cadre Web Laravel qui peut conduire à l’exécution de code à distance.

Une variante de Lucifer a été découverte le 29 mai. Cette campagne s’est arrêtée le 10 juin pour reprendre le lendemain avec une version mise à jour du botnet.

Initialement, le malware était censé servir à des fins d’extraction de crypto-monnaie (Monero), mais il est devenu plus tard évident qu’il possède également un composant DDoS ainsi qu’un mécanisme d’auto-propagation en tirant parti des vulnérabilités graves et du forçage brutal.

La sale douzaine

La diffusion sur le réseau est possible via les exploits EternalBlue, EternalRomance et DoublePulsar divulgués par le groupe de hackers Shadow Brokers. Une liste des exploits armés utilisés par les opérateurs Lucifer est disponible ci-dessous, et tous ont été corrigés:

« Une fois exploité, l’attaquant peut exécuter des commandes arbitraires sur le périphérique vulnérable. Dans ce cas, les cibles sont des hôtes Windows sur Internet et l’intranet, étant donné que l’attaquant utilise l’utilitaire certutil dans la charge utile pour la propagation de logiciels malveillants » – Unité 42

Infos WEB:  Nuvocargo, un marché géré par camionnage, lève 5,3 M $ en financement de démarrage - infos

Pour l’attaque par force brute, le malware s’appuie sur un dictionnaire avec 300 mots de passe et seulement sept noms d’utilisateur: « sa », « SA », « su », « kisadmin », « SQLDebugger », « mssql » et « Chred1433 ». . « 

Outre les trois exploits pour la propagation interne, Lucifer peut également rechercher des machines avec les ports TCP 135 (RPC) et 1433 (MSSQL) ouverts et …

Voir la source de cette publication