Un groupe de pirates utilise le botnet Hoaxcalls dans le cadre d'une campagne d'infection en cours sur plusieurs mois. Il s'agit d'une menace dérivée basée sur le code malveillant Gafgyt et utilisant plusieurs exploits ciblant les appareils.
HoaxCalls Botnet livré à l'aide d'exploits dangereux
Un groupe inconnu de pirates utilise activement le botnet Hoaxcalls pour infecter d'autres hôtes et les y recruter. Aucune information n'est disponible sur les criminels qui sont derrière les opérations de malware. Nous déterminons qu'ils sont très expérimentés car la campagne est active depuis plusieurs mois maintenant.
Les premiers échantillons qui lui sont associés ont été détectés dans Mars 2020 lorsqu'un domaine pour le diffuser a été enregistré. La première version du botnet infecte par l'exploitation de deux vulnérabilités:
- DrayTek Vigor2960 Faille d'exécution de code à distance — Un problème de sécurité qui permet aux pirates de pénétrer dans ces appareils.
- Exploitation de la base de données de communications unifiées GrandStream — Ce bug est également suivi dans le Avis CVE-2020-5722 qui est décrit comme un problème de gestion de l'authentification. Cela peut être fait en créant des paquets HTTP. Lorsque les pirates ont pris le contrôle des appareils, ils peuvent exécuter des commandes locales qui peuvent conduire au recrutement de l'appareil sur le botnet.
Dans Avril 2020 une version mise à jour de la menace d'origine a été découverte qui met à niveau le tableau de bord utilisé pour contrôler le botnet. Un nouvel exploit a également été intégré dans l'arsenal d'infection qui agit contre ZyXEL Cloud CNM SecuManager. Depuis la version originale de mars de cette année, de plus en plus de vulnérabilités sont exploitées pour infecter les ordinateurs cibles avec le code malveillant..
Hoaxcalls Infections Botnet: The Aftermath
L'une des raisons pour lesquelles le Hoaxcalls est considéré comme dangereux est le nombre d'exploits qui sont constamment ajoutés par les pirates. Les criminels eux-mêmes apparaissent également comme très expérimentés ayant la capacité d'infecter des milliers d'hôtes lors d'une attaque complexe. L'analyse menée par les experts en sécurité note qu'au cours des derniers mois, les pirates informatiques ont été en mesure d'infecter de nombreux hôtes menant à un vaste réseau d'ordinateurs. Ils contrôlent les ordinateurs via un tableau de bord leur permettant d'exploiter la puissance collective à des fins néfastes.
Le botnet Hoaxcalls peut être utilisé pour fins de sabotage y compris un déni de service distribué à grande échelle organisé (DDoS) attaques. Il est très possible que les prochaines campagnes soient organisées avec cette arme dangereuse.