Trojan.SH.MIRAI.BOI

Par GoldSparrow en Trojans

Se traduisent par :

Trojan.SH.MIRAI.BOI est la désignation attribuée à un téléchargeur de botnet Mirai personnalisé. Depuis que le code du botnet Mirai a été rendu public en 2016, les cybercriminels ont eu la chance de simplement le saisir et d'ajouter leurs propres modifications pour mieux répondre à leur agenda. Le Trojan.SH.MIRAI.BOI est conçu pour attaquer les appareils de l'Internet des objets (IoT) en recherchant les boîtes Big-IP exposées, en abusant de plusieurs vulnérabilités et en déployant une charge utile menaçante. La vulnérabilité sur laquelle Trojan.SH.MIRAI.BOI se concentre principalement est CVE-2020-5902. À la base, ce bogue consiste en une vulnérabilité d'exécution de code à distance (RCE) qui peut avoir un impact sur l'interface utilisateur de gestion du trafic (TMUI) des appareils Big-IP. L'exploit est extrêmement menaçant, car il permet aux pirates d'exécuter des commandes arbitraires sur le périphérique infecté en envoyant simplement une requête GET avec un paramètre «command» à «tmshCmd.jsp».

Les chercheurs d'Infosec ont détecté deux adresses IP dans le cadre des opérations sur les menaces. Le premier sur txxp: //79.124.8.24/bins/ agit comme un vecteur d'infiltration, tandis que hxxp: //78.142.18.20 est le serveur Command-and-Control (C2, C&C). Le serveur hôte contenait plusieurs fichiers nommés SORA, une autre variante basée sur le Mirai Botnet spécialisée dans les attaques par force brute, l'exploitation des vulnérabilités RCE et un fichier de script shell nommé «fetch.sh». Le script shell est chargé de contacter le serveur C&C et de fournir la charge utile des applications appropriées. Il met également en place l'exécution automatisée des fichiers binaires corrompus. De plus, via l'outil iptables, le script configure tous les paquets envoyés aux ports TCP couramment utilisés tels que ceux pour Telnet, le panneau Web du périphérique (HTTP) et Secure Shell (SSH) à supprimer. L'objectif possible est d'empêcher tout autre logiciel malveillant d'infecter l'appareil déjà compromis ou d'empêcher les utilisateurs d'accéder à l'interface de gestion de l'appareil.

Outre la vulnérabilité CVE-2020-5902, Trojan.SH.MIRAI.BOI exploite neuf autres vulnérabilités, dont trois n'avaient pas d'identification CVE lorsque la menace a été détectée.

Rechercher

Changer de région

Trojan.SH.MIRAI.BOI

Soumettre un Commentaire

Tendance

Arnaque par e-mail « YouPorn »

Safe Search Eng

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran