Threat Database Botnets Botnet Gitpaste-12

Botnet Gitpaste-12

Gitpaste-12 est un botnet et une menace de vers extrêmement sophistiquée qui a été équipée d'un large éventail de capacités menaçantes. Le nom Gitpaste-12 est dérivé du fait que certains composants de la menace étaient hébergés sur des services légitimes tels que GitHub et Pastebin. Le nombre 12 désigne les 12 vecteurs d'attaque différents exploités par le ver - 11 vulnérabilités et une fonction de force brute telnet. Deux des vulnérabilités ciblent Apache Struts et MongoDB, deux composants open source largement utilisés. Le logiciel malveillant est conçu pour infecter les serveurs x86 basés sur Linux et les périphériques Internet des objets (IoT) basés sur Linux ARM et MIPS.

Le fait que la charge utile principale de Gitpaste-12 Botnet ait été hébergée sur des sites authentiques comme GitHub et Pastebin, rend d'autant plus difficile de bloquer l'infrastructure de commande et de contrôle (C2, C&C) du logiciel malveillant au sein du réseau compromis. Il convient de noter que Gitpaste-12 était présent sur Github pendant plusieurs mois à partir de juillet 2020 mais a été supprimé après avoir été découvert par les chercheurs de Juniper Threat Labs. Bien que cela arrête efficacement la propagation du botnet, les pirates peuvent établir leur infrastructure C2 ailleurs, une possibilité qui est très probablement due au fait que Gitpaste-12 est en cours de développement actif, comme en témoignent plusieurs facteurs.

Une fois à l'intérieur de l'appareil ciblé, Gitpaste-12 met fin à plusieurs couches de mesures de protection anti-malware. Il désactive les règles de pare-feu, apparmor, selinux, etc. Il permet ensuite aux pirates d'exécuter des commandes de shell inversées en utilisant les ports TCP 30004 et 30005, comme observé sur certains des systèmes infectés. Gitpaste-12 dispose de différents modules chargés de déposer un mineur de crypto-monnaie Monero sur les appareils compromis, d'exécuter un script basé sur Telnet pour les attaques par force brute contre les serveurs Linux et les appareils IoT, un mécanisme de persistance via cronjob, etc. Le ver peut se propager et infecter d'autres machines en choisissant un CIDR aléatoire / 8 et en essayant toutes les adresses dans cette plage.

Tendance

Le plus regardé

Chargement...