Ttint Botnet

Le botnet Ttint est un botnet IoT (Internet of Things) actif depuis plus d'un an. Selon l'analyse des spécialistes, les criminels ont exploité deux vulnérabilités zero-day pour infiltrer les routeurs Tenda et installer des logiciels malveillants. Alors que la plupart des botnets IoT sont principalement utilisés pour lancer une attaque DDoS, le botnet Ttint affiche une gamme beaucoup plus large de fonctions disponibles, notamment l'exécution de commandes d'accès à distance et la falsification des paramètres DNS du routeur.

Deux versions de teinte repérées jusqu'à présent

Lorsque le botnet Ttint a été détecté pour la première fois, il s'est appuyé sur l'utilisation abusive d'une vulnérabilité Tendra zero-day qui est suivie sous les noms CVE-2018-14558 & CVE-2020-10987. Les pirates pourraient exploiter cette vulnérabilité pour propager leur malware pendant plus de six mois. Cependant, en juillet 2020, un rapport a été publié détaillant la vulnérabilité zero-day et la rendant publique. Bien que Tendra n'ait toujours pas publié de mise à jour corrigeant le problème, les pirates ont rapidement changé de tactique et ont publié une nouvelle version de leur outil menaçant en seulement quelques semaines. Sur le plan fonctionnel, cette deuxième itération est restée pratiquement inchangée, mais elle était passée à l'exploitation d'une autre vulnérabilité zero-day, qui jusqu'à présent est restée non divulguée et non corrigée.

Les personnes utilisant des routeurs Tendra doivent être vigilantes et vérifier le firmware de leurs appareils. Selon les chercheurs, les versions de firmware allant de AC9 à AC18 sont susceptibles d'être attaquées et de devenir des victimes du botnet Ttint. Les appareils les plus touchés se trouvent au Brésil, suivi des États-Unis, de l'Afrique du Sud et de l'Inde.

Ttint est un Mirai modifié

À la base, le Ttint Botnet est un cheval de Troie d'accès à distance ciblant les routeurs qui est une version fortement étendue et modifiée du malware Mirai Botnet IoT. Le Mirai Botnet est resté un choix populaire parmi les cybercriminels depuis que son code source a été divulgué en ligne en 2016. Cela a permis à des pirates avec des degrés divers de compétences de publier des variantes dans la nature. L'examen du botnet Ttint révèle qu'en eux-mêmes, ses différents composants et fonctions n'ont rien de nouveau, en particulier, mais le fait que les pirates qui en sont responsables aient réussi à combiner différents aspects des logiciels malveillants IoT ou Linux en une seule entité rend la menace plutôt unique.

Pour commencer, le botnet Ttint a conservé 10 instructions d'attaque DDoS du botnet Mirai mais s'est doté de 12 nouvelles commandes responsables de son comportement d'accès à distance. Un autre changement important par rapport au Botnet Mirai est la façon dont le Botnet Ttint gère sa communication Command-and-Control (C2). Apparemment, le botnet Ttint a été configuré pour utiliser un protocole WebSocket.