Une nouvelle campagne d'attaque utilisant des instances mises à jour du Hide « N Seek botnet IdO attaquent actuellement les utilisateurs dans le monde entier. L'analyse de la sécurité des échantillons capturés vitrine que le code mis à jour un large éventail de bases de données support des serveurs. Cela donne des groupes de piratage d'une arme redoutable qu'ils peuvent utiliser dans les attaques avancées.
Hide « N Seek IdO Botnet Mise à jour avec de nouvelles capacités
souches nouvellement capturées de la peau « N Seek botnet IdO ont été trouvés contenir une base de code mis à jour. Les souches capturées révèlent que les nouvelles versions de logiciels malveillants peuvent cibler différents serveurs de base de données présentant ainsi une menace encore plus.
La premières versions de Hide « N Seek ont été trouvés en Janvier dans les campagnes mondiales à grande échelle qui ont pu infecter des milliers de dispositifs de manière rapide. L'analyse menée montre que les pirates derrière les nombreuses vulnérabilités utilisées infiltrations pour trouver une faiblesse et infecter l'hôte cible. Au début du mois de mai 2018 les statistiques indiquent que le botnet a infecté plus 90 000 hôtes. D'autres ajouts à ce moment-là comprenaient une nouveau module de persistance.
Ces ajouts reconfigurer les paramètres du système cible pour démarrer automatiquement le logiciel malveillant une fois l'appareil est sous tension. Il reconfigure les paramètres de démarrage afin de contourner les services ou les applications qui peuvent interférer avec sa bonne exécution. Si les appareils Windows sont infectées, le moteur peut modifier la respective Des entrées de registre en modifiant ceux appartenant au gestionnaire de démarrage, En outre, il peut installer les entrées appartenant à lui-même.
Hide « N Seek IdO Botnet Mécanisme d'infection
Les infections sont faites d'une manière P2P qui ne reposent pas sur un emplacement centralisé où les attaques sont en cours. Cela le rend beaucoup plus efficace que les administrateurs de la sécurité auront un filtrage beaucoup plus de mal les hôtes malveillants.
Les versions les plus récentes du Hide « N Seek botnet IdO a été trouvé pour inclure les nouveaux exploits qui ciblent vulnérables Cisco Linksys routeurs et webcams AVTECH. Le moteur a maintenant une somme supplémentaire 171 noeuds codées en dur P2P et d'autres ajouts de fonctionnalités telles qu'un mineur crypto-monnaie. Cela installe une instance de logiciel qui utilise les ressources système disponibles afin de générer des actifs en devises numériques qui sont générés automatiquement aux portefeuilles du pirate.
Le moteur utilise une infection scanner de port qui semble prendre du botnet Mirai. L'analyse montre qu'il cherche les ports ouverts aux services communs (ports 80, 8080/2480, 5984 et 23) et d'autres ceux choisis au hasard. Un nouvel ajout est la capacité de infecter les bases de données - à la fois OrientDB et Apache CouchDB sont pris en charge.
Il existe trois façons distinctes le botnet peut communiquer avec les autres pairs qui forment le réseau:
- Contacter la liste intégrée des pairs.
- Arguments de ligne de commande spécifiées.
- Comme Instruit par d'autres pairs.
Lorsque les instances sont démarrés sans arguments HIDE « N Seek IdO Botnet le nœud local envoie une série de paquets UDP le check-in afin de signaler l'infection.
La raison pour laquelle la N Hide’ Seek botnet IdO est craint comme une arme de piratage informatique efficace est la motivation derrière elle. Les criminels semblent cibler à la fois les entreprises et les organismes gouvernementaux en ajoutant les nouvelles capacités d'infection. Les dernières mises à jour peuvent également signaler une campagne mondiale généralisée contre les utilisateurs finaux qui utilisent fréquemment les webcams et les appareils IdO dans le cadre de leurs achats intelligents d'équipement de la maison.
Si le botnet est utilisé pour provoquer sabotage aux hôtes infectés alors cela peut être fait par l'utilisation du moteur de manipulation de base de données. Les criminels peuvent l'utiliser pour effacer, manipuler ou de détourner l'information stockée, ainsi que dans les virus des plantes hôtes aux victimes.
D'autres dommages qui peuvent être infligés comprend comportement du cheval de Troie. Dans ce cas, une connexion sécurisée à un noeud de serveur P2P ou contrôlé hacker est établi. Grâce à elle les criminels peuvent espionner les victimes en temps réel, ainsi que de prendre le contrôle des appareils et déployer des menaces supplémentaires.
La caractéristique dangereuse des infections botnet est que dans de nombreux cas, les utilisateurs des victimes ne peuvent éprouver des symptômes.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: