Le groupe de pirates informatiques Outlaw vient de remontrer à nouveau le bout de son nez sur le radar des chercheurs en cybersécurité. Ils ont été repérés suite à la détection d’un botnet attaquant des mineurs de crypto-monnaies. Le botnet propage un mineur pour Monero (XMR) a déclaré Trend Micro dans un billet de blog jeudi.
En utilisant un honeypot, la société de cybersécurité a détecté une URL diffusant le botnet. L’équipe a découvert que le mineur était associé à un composant de backdoor basé sur Perl et à une backdoor en SSH, deux éléments associés à des attaques précédentes du groupe Outlaw.
La dernière campagne s’est concentrée sur la Chine, et considérant que les chercheurs pensent que le groupe Outlaw est encore en phase de test – en raison d’indices dans les composants de script shell et de fichiers malveillants non exécutés et dormants – les victimes peuvent agir comme sujets de test pour le développement ultérieur du malware et du botnet dans son ensemble.
Pour commencer la chaîne d’infection, Outlaw tente de mettre en place des attaques de force brute via SSH. Un script shell est alors déployé, qui télécharge et exécute la charge utile du mineur, ainsi qu’un fichier TAR qui contient des scripts malveillants supplémentaires et des backdoor.
Le dossier TAR contient les binaires relatifs au mineur de crypto monnaie utilisé par la charge utile originale, les scripts shell pour l’exécution de la charge utile et les scripts pour contrôler la backdoor.
De plus, il existe des scripts capables de détecter les mineurs rivaux déjà installés sur un système cible et, si nécessaire, de les supprimer afin d’éradiquer la concurrence sur le vol de la puissance du CPU pendant les opérations de mining.
L’un des fichiers particulièrement intéressant, rsync, est un Shellbot basé sur Perl qui est capable de télécharger et d’exécuter des fichiers et des commandes shell, ainsi que de lancer des attaques de DDoS (distributed denial-of-service).
Quand l’infection a été réalisée et que le système a été connecté au botnet d’Outlaw, le malware va commencer à chercher d’autres cibles à infecter. Deux fichiers téléchargés par les scripts, tsm32 et tsm64, servent de scanners pour propager le mineur et sont également capables d’envoyer des commandes à distance pour exécuter des malwares.
« Étant donné que Perl est installé dans la machine, l’utilisation du langage de programmation Perl pour sa backdoor garantit la flexibilité des logiciels malveillants dans les systèmes Linux et Windows » explique Trend Micro. « Et si le groupe décidait de vendre le code, l’entretien du code serait plus facile pour l’acheteur pour d’autres utilisations possibles, ajustements et exécution. »
La présence d’un APK, pour l’instant inutilisé, suggère qu’Android pourrait être le prochain système d’exploitation que Outlaw va tenter d’attaquer. Les techniques utilisées dans la nouvelle campagne sont similaires à une précédente vague d’attaques hors-la-loi détectée en novembre 2018.
Deux variantes ont été repérées l’année dernière, dont l’une utilisait un mineur et un dropper basé sur Haiduc, tandis que l’autre utilisait des attaques par force brute et tentait d’exploiter le protocole Microsoft Remote Desktop Protocol et le panneau d’administration cloud cPanel pour augmenter des privilèges. Dans les deux cas, un mineur de Monero a été déployé et plus de 200 000 systèmes ont été infectés dans le monde.
Article « Outlaw hackers return with cryptocurrency mining botnet » traduit et adapté par ZDNet.fr
