Tsunami Botnet

Un botnet récemment créé appelé Tsunami a connu un développement rapide, les chercheurs de l'Infosec observant une augmentation considérable de ses capacités en peu de temps. Lorsque l'activité du botnet a été détectée pour la première fois, il a déployé une charge utile constituée d'une variante de crypto-mineur XMR Monero. En tant que vecteur de compromis, il a exploité des systèmes d'API Docker mal configurés. Les deux aspects du botnet ont été modifiés de manière significative dans la dernière version.

Les hackers responsables de la libération du botnet ont changé le vecteur d'attaque, et maintenant Tsunami se propage à travers une vulnérabilité WebLogic. En particulier, il exploite la vulnérabilité CVE-2020-14882, qui a reçu une cote de gravité de 9,8 sur 10. En octobre 2020, Oracle a publié un correctif pour résoudre le problème, mais de nombreuses cibles n'ont pas été corrigées et restent exposées aux attaques. Le nombre de charges utiles de logiciels malveillants fournies par le botnet a doublé avec l'inclusion de binaires Tsunami en plus des variantes de crypto-miner XMR précédemment observées. Pour la propagation latérale au sein du réseau compromis, il utilise SecureShell en énumérant les utilisateurs, clés, hôtes et ports ssh. Les chercheurs d'Infosec qui ont analysé le code sous-jacent du malware ont découvert deux sections de code inutilisé. L'un est dédié à l'exploitation de Redis tandis que l'autre peut tenter le forçage brutal de SecyreShell. Une autre fonctionnalité ajoutée au malware est la possibilité de mettre fin à des solutions de sécurité et des outils de surveillance spécifiques. Il peut également mettre fin aux processus en cours pour tous les outils de minage potentiellement concurrents qui auraient déjà été déployés sur la cible compromise par d'autres acteurs de la menace.

Au cours de sa chaîne d'attaque en plusieurs étapes, le botnet fournit plusieurs scripts shell .xms et un nombre encore plus grand de scripts Python. En général, les scripts shell sont chargés de préparer l'environnement pour la livraison des charges utiles du malware. Ils exécutent les routines de terminaison de processus, désinstalle certaines solutions de défense des points de terminaison et effectuent le mouvement latéral SSH en essayant d'infecter les hôtes avec lesquels le serveur était auparavant en contact. Les scripts .xms établissent également le mécanisme de persistance de la menace en tirant parti des cronjobs, qui téléchargeront et exécuteront les scripts shell et les scripts python à des intervalles prédéterminés - 1 minute, 2 minutes, 3 minutes, 30 minutes et toutes les heures. /etc/init.d/down est également écrasé assurant la persistance à chaque démarrage du système.

D'autre part, les scripts Python sont les véhicules qui déploient les charges utiles des malwares du botnet. Avec quatre scripts au total, ils peuvent être séparés en deux groupes distincts. Le premier groupe déployé est celui du crypto-mineur XMRig Monero. Il établit également son propre mécanisme de persistance via cron avant de lancer le deuxième groupe de scripts. A ce stade, les binaires Tsunami sont récupérés et initialisés sur la cible.

Le développement rapide du botnet combiné à la découverte de fonctionnalités inutilisées pouvant être activées à tout moment démontre la capacité des cybercriminels à adapter et modifier rapidement leurs outils malveillants.