UNSTABLE Botnet

Le botnet UNSTABLE est encore une autre variante de botnet engendré à partir du code source divulgué du tristement célèbre Mirai Botnet. Le dumping du code source de Mirai sur un forum de hackers en 2016 a permis à tout un éventail de cybercriminels - des novices aux développeurs expérimentés, de le prendre et de l'ajuster en fonction de leurs besoins.

UNSTABLE a été déployé aux côtés d'une autre variante Mirai Botnet appelée SORA dans une campagne ciblant les systèmes de stockage de vidéosurveillance Rasilient PixelStor5000. La menace a abusé de la vulnérabilité CVE-2020-6756 par laquelle les pirates pourraient exécuter des commandes d'exécution de code à distance via le paramètre «lang».

SORA et UNSTABLE étant basés sur le même code source, les deux menaces partagent de nombreuses similitudes. UNSTABLE, cependant, semble un peu plus sophistiqué car il est équipé de la fonctionnalité permettant d'exploiter la vulnérabilité ThinkPHP en plus des deux exploits abusés par SORA - CVE-2017-17215 et CVE-2018-10561. Les vulnérabilités ThinkPHP et CVE-2017-17215 autorisent les commandes RCE, tandis que CVE-2018-10561 permet aux pirates d'accéder à la gestion de l'appareil compromis.

En ce qui concerne le déploiement de botnets, ils ont tous le même objectif: infecter et incorporer autant d'appareils que possible. Avec le plus grand nombre de «bots», la fonctionnalité du Botnet devient beaucoup plus puissante. Les pirates peuvent alors fournir des frais de service, ils peuvent lancer une grève de déni de service distribué (DDoS), comme indiqué par les spécifications de leur client.