Devis de remise multi-licences
Données concernant les menaces Botnets Botnet Nexcorium

Botnet Nexcorium

Par Mezo en Botnets
Se traduisent par :

Les enquêtes en cybersécurité révèlent que des acteurs malveillants exploitent activement les failles de sécurité des systèmes DVR TBK et des routeurs Wi-Fi TP-Link en fin de vie pour déployer des variantes du botnet Mirai. Ces appareils, souvent négligés dans les stratégies de sécurité, constituent des points d'entrée privilégiés en raison de leurs micrologiciels obsolètes, de leurs configurations vulnérables et de la rareté des mises à jour. Leur déploiement à grande échelle accroît encore leur intérêt en tant que cibles potentielles pour les cyberattaques de grande envergure.

Exploitation des vulnérabilités connues pour l’accès initial

La campagne ciblant les enregistreurs vidéo numériques (DVR) TBK exploite la vulnérabilité CVE-2024-3721, une faille d'injection de commandes de gravité moyenne (score CVSS : 6,3) affectant les modèles DVR-4104 et DVR-4216. En exploitant cette faille, les attaquants déploient une charge utile basée sur Mirai, connue sous le nom de Nexcorium. Cette vulnérabilité a déjà été exploitée lors de précédentes campagnes ; elle a notamment servi à déployer des variantes de Mirai ainsi que le botnet émergent RondoDox.

De plus, des recherches antérieures ont mis en évidence un écosystème de chargeurs en tant que service responsable de la distribution de plusieurs familles de logiciels malveillants, notamment RondoDox, Mirai et Morte, en exploitant des identifiants faibles et des vulnérabilités héritées sur les routeurs, les appareils IoT et les applications d'entreprise.

Chaîne d’infection et déploiement de la charge utile

La séquence d'attaque débute par l'exploitation d'une vulnérabilité du DVR afin de déployer un script de téléchargement. Ce script identifie l'architecture Linux du système cible et exécute la charge utile appropriée du botnet. Une fois activé, le logiciel malveillant signale la compromission en affichant un message indiquant que le contrôle a été établi.

Nexcorium reprend la conception structurelle des variantes traditionnelles de Mirai, intégrant des données de configuration encodées, des mécanismes de surveillance du système et des modules dédiés au lancement d'attaques par déni de service distribué.

Techniques de déplacement latéral et de persistance

Ce logiciel malveillant étend sa portée au sein des réseaux en exploitant des vulnérabilités supplémentaires, notamment CVE-2017-17215, ciblant les appareils Huawei HG532. Il utilise également des techniques de force brute, exploitant des listes d'identifiants intégrées, pour compromettre d'autres systèmes via un accès Telnet.

Une fois l'accès obtenu, le logiciel malveillant effectue plusieurs actions :

  • Établit une session shell sur l'hôte compromis
  • Configure la persistance à l'aide de crontab et des services systemd
  • Se connecte à un serveur de commande et de contrôle distant pour obtenir des instructions.
  • Supprime le fichier binaire d'origine pour réduire sa visibilité à des fins d'analyse forensique.

Ces mesures garantissent un contrôle continu tout en minimisant les risques de détection et d'analyse.

Capacités et impact opérationnel des botnets

Après avoir assuré la persistance, Nexcorium permet aux attaquants d'exécuter toute une série d'attaques DDoS en utilisant plusieurs protocoles, notamment :

UDP
TCP
SMTP

Cette capacité multivectorielle permet des scénarios d'attaque flexibles et à fort impact, faisant du botnet une menace importante pour les infrastructures ciblées.

Contexte des menaces persistantes et risques futurs

Nexcorium illustre l'évolution des botnets ciblant l'IoT, en combinant la réutilisation d'exploits, la compatibilité multi-architecture et des mécanismes de persistance robustes. Son intégration de vulnérabilités connues, associée à des tactiques de force brute agressives, témoigne d'une grande capacité d'adaptation.

Le recours persistant aux identifiants par défaut et aux appareils non mis à jour garantit que les écosystèmes IoT resteront un point faible critique. Sans améliorations significatives des pratiques de sécurité des appareils, ces systèmes continueront d'alimenter les opérations de botnets à grande échelle et de perturber la stabilité des réseaux mondiaux.

Tendance

Arnaque par e-mail concernant la sécurité des...

Hameçonnage, Courrier indésirable
Dans le contexte actuel des menaces informatiques, le courrier électronique demeure l'un des vecteurs d'attaque les plus fréquents. Les utilisateurs doivent rester vigilants face aux messages inattendus, en particulier ceux qui exigent une action immédiate. Nombre de ces courriels sont des arnaques élaborées, et il est essentiel de comprendre qu'ils ne sont associés à aucune entreprise,...

Le plus regardé

Chargement...