Des chercheurs en sécurité ont récemment découvert Gitpaste-12, un nouveau ver utilisant GitHub et Pastebin pour conserver le code des composants. Le nouveau malware a 12 différents modules d'attaque disponibles, dit la société de sécurité Juniper.
Ver Gitpaste-12 ciblant les serveurs x86 basés sur Linux
Le ver Gitpaste-12 est devenu évident pour les chercheurs en octobre, avec de nouvelles attaques enregistrées en novembre. Les attaques initiales ciblaient des serveurs x86 basés sur Linux, ainsi que des appareils IoT basés sur Linux ARM et MIPS.
Les chercheurs ont surnommé le malware Gitpaste-12 car il utilise GitHub, Pastebin, et 12 méthodes pour compromettre un système ciblé. Les chercheurs ont signalé à la fois l'URL Pastebin et le référentiel git utilisés dans les attaques après leur découverte. Le repo git a ensuite été fermé en octobre 30, 2020.
La deuxième vague d'attaques a commencé en novembre 10, et Juniper dit qu'il utilisait des charges utiles d'un autre dépôt GitHub. Le dépôt contenait un malwarе de minage de crypto Linux, un fichier avec des mots de passe pour les attaques par force brute, et un exploit local d'escalade de privilèges pour les systèmes x86_64.
L'infection initiale se produit via X10-Unix, un binaire écrit en langage de programmation Go, qui télécharge les charges utiles de la prochaine étape à partir de GitHub.
Quel type d'appareils cible Gitpaste-12?
des applications Web, caméras IP, et les routeurs sont les principales cibles du ver dans «une vaste série d'attaques». Les attaques utilisent au moins 31 vulnérabilités connues, dont sept ont été vus dans l'échantillon de logiciels malveillants précédent. Le ver tente également de compromettre les connexions Android Debug Bridge, et les portes dérobées des logiciels malveillants existants, dit Asher Langton, chercheur chez Juniper.
Il est à noter que la plupart des exploits utilisés par le ver sont nouveaux, avec des divulgations publiques et des codes de preuve de concept datés aussi récemment que septembre. Les instances récentes de Gitpaste-12 tentent d'accomplir ces trois étapes:
1. Installez le logiciel de cryptomining Monero.
2. Installez la version appropriée du ver X10-unix.
3. Ouvrez une porte dérobée en écoutant sur les ports 30004 et 30006 et téléversez l'adresse IP de la victime dans une pâte Pastebin privée.
Une liste de tous les exploits abusés dans les attaques et d'autres détails techniques sont disponibles dans Rapport de Juniper.
En Octobre, les chercheurs en sécurité en ont découvert un autre auparavant malware inconnu appelé Ttint, catégorisé comme un cheval de Troie spécifique à l'IoT. Les attaquants utilisaient deux vulnérabilités zero-day pour compromettre les appareils ciblés, CVE-2018-14558 et CVE-2020-10987. À partir des échantillons capturés, il semble que le malware était basé sur du code Mirai.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: