Une variante du botnet Mirai a été découverte exploitant une faille de sécurité récemment révélée affectant les routeurs industriels Four-Faith depuis début novembre 2024 dans le but de mener des attaques par déni de service distribué (DDoS).
Le botnet gère environ 15 000 adresses IP actives par jour, les infections étant principalement dispersées en Chine, en Iran, en Russie, en Turquie et aux États-Unis.
Exploitant un arsenal de plus de 20 vulnérabilités de sécurité connues et de faibles informations d’identification Telnet pour l’accès initial, le malware est connu pour être actif depuis février 2024. Le botnet a été surnommé « gayfemboy » en référence au terme offensant présent dans le code source.
QiAnXin XLab a déclaré avoir observé le logiciel malveillant exploitant une vulnérabilité Zero Day dans les routeurs industriels fabriqués par la société chinoise Four-Faith pour fournir les artefacts dès le 9 novembre 2024.
La vulnérabilité en question est CVE-2024-12856 (score CVSS : 7,2), qui fait référence à un bug d’injection de commandes du système d’exploitation (OS) affectant les modèles de routeurs F3x24 et F3x36 en tirant parti d’informations d’identification par défaut inchangées.
À la fin du mois dernier, VulnCheck a déclaré à The Hacker News que la vulnérabilité avait été exploitée dans la nature pour supprimer des shells inversés et une charge utile de type Mirai sur les appareils compromis.
Certaines des autres failles de sécurité exploitées par le botnet pour étendre sa portée et son ampleur incluent CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017. -5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 et CVE-2024-8957.
Une fois lancé, le malware tente de masquer les processus malveillants et implémente un format de commande basé sur Mirai pour rechercher les appareils vulnérables, se mettre à jour et lancer des attaques DDoS contre des cibles d’intérêt.
Les attaques DDoS exploitant le botnet ont ciblé quotidiennement des centaines d’entités différentes, l’activité atteignant un nouveau pic en octobre et novembre 2024. Les attaques, bien que durant entre 10 et 30 secondes, génèrent un trafic d’environ 100 Gbit/s.
Cette divulgation intervient quelques semaines après que Juniper Networks a averti que les produits Session Smart Router (SSR) dotés de mots de passe par défaut étaient ciblés par des acteurs malveillants pour supprimer le malware botnet Mirai. Akamai a également révélé des infections par le logiciel malveillant Mirai qui exploitent une faille d’exécution de code à distance dans les DVR DigiEver.
« Le DDoS est devenu l’une des formes de cyberattaques les plus courantes et les plus destructrices », ont déclaré les chercheurs de XLab. « Ses modes d’attaque sont divers, les chemins d’attaque sont hautement dissimulés et il peut utiliser des stratégies et des techniques en constante évolution pour mener des attaques précises contre divers secteurs et systèmes, posant ainsi une menace importante pour les entreprises, les organisations gouvernementales et les utilisateurs individuels. »
Ce développement intervient également alors que les acteurs malveillants exploitent des serveurs PHP sensibles et mal configurés (par exemple, CVE-2024-4577) pour déployer un mineur de cryptomonnaie appelé PacketCrypt.