Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Détection d’un nouveau botnet se propageant via GitHub et Pastebin (Gitpaste-12)

novembre 2020 par juniper

Gitpaste-12 est un nouveau logiciel malveillant récemment découvert par Juniper Threat Labs, utilisant la plateforme GitHub et l’application web Pastebin pour héberger le code de ses composants.

Ce logiciel malveillant a été baptisé Gitpaste-12 en raison de l’utilisation de GitHub, Pastebin et de 12 modules d’attaque différents qui le composent. Il existe cependant des preuves de l’existence d’un code test pour d’éventuels futurs modules, ce qui indique que le développement de ce malware est en cours.

Pour l’instant, les principales cibles ont été des serveurs x86 basés sur Linux, ainsi que des dispositifs IoT basés sur Linux ARM et MIPS. Les premières attaques de Gitpaste-12 ont été détectées par Juniper le 15 octobre 2020. Suite aux premiers signalements, des actions correctives ont été prises, devant mettre fin à la prolifération de ce botnet.

Anatomie de Gitpaste-12

La première phase de l’attaque est la compromission initiale du système. Le ver tente d’utiliser des exploits connus pour compromettre des systèmes et peut également tenter de forcer des mots de passe. Immédiatement après avoir compromis un système, le logiciel malveillant met en place une tâche planifiée qu’il télécharge depuis Pastebin, qui à son tour appelle le même script et l’exécute à nouveau chaque minute.

Le script shell principal téléchargé pendant l’attaque sur la machine victime commence à télécharger et à exécuter d’autres composants de Gitpaste-12. Il télécharge et active d’abord la tâche cron, qui télécharge et exécute périodiquement le script de Pastebin. Ensuite, il télécharge depuis GitHub (https://raw.githubusercontent[.]com/cnmnmsl-001/-/master/shadu1) et l’exécute.

Un autre script, le script shadu1, contient quant à lui des commentaires en langue chinoise et met à la disposition des attaquants de multiples commandes permettant de désactiver différentes capacités de sécurité. Des indices trouvés permettent d’affirmer que les acteurs de la menace derrière Gitpaste-12 ont ciblé de manière précise l’infrastructure publique cloud fournie par Alibaba Cloud et Tencent.

Les malwares de types vers « Worm » sont particulièrement virulents. Leur capacité à se propager de manière automatisée peut conduire à une propagation latérale au sein d’une organisation ou à une tentative d’infection d’autres réseaux sur Internet. Il est donc nécessaire de stopper la menace le plus rapidement possible.


Voir les articles précédents

    

Voir les articles suivants