Accueil > Nouvelles Cyber > Abcbot: Linux Wormable Botnet ciblant Huawei Cloud
CYBER NOUVELLES

Abbott: Linux Wormable Botnet ciblant Huawei Cloud

abcbot
Un nouveau botnet Linux wormable a été observé dans la nature. Appelé Abbot, la menace cible « des fournisseurs de services cloud relativement nouveaux (CPS) avec des logiciels malveillants d'extraction de crypto-monnaie et des attaques de cryptojacking,» selon les conclusions de Trend Micro.

Le malware déploie un code qui supprime les applications et les services principalement dans Huawei Cloud, comme le service hostguard qui détecte les problèmes de sécurité et protège le système. Chercheurs en sécurité du Network Security Research Lab à 360 aussi à condition que détails techniques sur le nouveau malware Linux.




Présentation technique d'Abbot

Abcbot a été détecté pour la première fois par les chercheurs de Tencent dans 2020 dans une campagne ciblant les environnements de conteneurs. Les échantillons les plus récents du malware contiennent la même création de règle de pare-feu qui était présente dans les échantillons de l'année dernière. "Pourtant, il a été commenté, donc aucune règle n'est créée. Nous avons observé que les échantillons les plus récents ne ciblent que les environnements cloud,"Tendance Micro souligné.

Il est à noter que les opérateurs d'Abcbot recherchent désormais des clés publiques spécifiques qui les aideraient à éliminer leur concurrence du système infecté et à mettre à jour leurs propres clés.. Cela montre que les opérateurs de menaces veulent accomplir une désinfection complète du système d'exploitation ciblé. Le malware tente de localiser à la fois les infections précédentes et les utilitaires de sécurité qui pourraient empêcher son opération malveillante. En outre, il utilise également des "commandes simples mais efficaces pour nettoyer après avoir effectué sa routine d'infection".

Une fois tous les utilisateurs inutiles supprimés du système, le malware crée lui-même plusieurs utilisateurs, un comportement observé que partiellement dans les exemples précédents ciblant le cloud. Cette campagne, cependant, crée plus d'utilisateurs avec des noms génériques tels que « système » et « enregistreur ». Le but de ces noms est de tromper un analyste Linux inexpérimenté en lui faisant croire que les utilisateurs sont légitimes.. Les utilisateurs malveillants reçoivent également des pouvoirs administratifs.

Une autre découverte intéressante est que "l'équipe de piratage ajoute également sa propre clé ssh-rsa pour lui permettre de se connecter à plusieurs reprises au système infecté". Une fois les modifications du système effectuées, des autorisations spéciales sont ajoutées pour interdire d'autres modifications sur ces fichiers. Ceci est fait pour s'assurer que les utilisateurs créés ne peuvent pas être supprimés ou modifiés.

Les opérateurs d'Abcbot analysent également le système ciblé à la recherche de vulnérabilités et de failles de sécurité spécifiques., Y compris:

Mots de passe faibles SSH
Vulnérabilité dans le produit Oracle WebLogic Server d'Oracle Fusion Middleware (CVE-2020-14882)
Redis accès non autorisé ou mots de passe faibles
Accès non autorisé PostgreSQL ou mot de passe faible
Mot de passe faible de SQLServer
Accès non autorisé à MongoDB ou mot de passe faible
Protocole de transfer de fichier (FTP) mot de passe faible

L'objectif final de l'opération est de supprimer les mineurs de crypto-monnaie, qui sont considérés comme les charges utiles les plus déployées sous Linux. Les chercheurs de Trend Micro ont contacté Huawei Media Team avec leurs conclusions avant leur publication, et attendent actuellement l'accusé de réception ou la réponse de la société.

En Octobre 2021, les chercheurs ont découvert un nouveau, malware inédit famille ciblant les systèmes Linux. Surnommé FontOnLake par les chercheurs d'ESET, et HCRootkit par Avast et Lacework, le malware a des capacités de rootkit, conception avancée et faible prévalence, suggérant qu'il est principalement destiné aux attaques ciblées.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...