Le malware Mirai, découvert la première fois en 2016, a une menace persistante dans le cadre de la cybersécurité. Ce malware infecte les appareils intelligents (IoT), convertis en robots contrôlés à distance qui sont utilisés pour lancer des attaques de violation de service distribué (DDoS).
Une fois que Mirai était en état de latence au cours d’une période, elle a été détectée récemment en juillet 2024. Aujourd’hui, avec l’apparition de Murdoc_Botnet, Qualys a démontré que Mirai était en évolution et représentait un danger significatif.
Sergio Pedroche, Country Manager de Qualys Iberia, a expliqué que «le malware Mirai a prouvé des problèmes de sécurité sur les appareils IoT, ce qui lui permet de convertir le pouvoir collectif de millions d’appareils en botnets avec une chance mondiale». Cette capacité de Mirai à former des réseaux de robots massifs répond à la nécessité de technologies avancées pour fournir une défense proactive contre des histoires intéressantes.
Murdoc_Botnet de Mirai
Au cours d’une analyse rutinaire, l’équipe d’investigation de Qualys a découvert la campagne active de Murdoc_Botnet, qui impliquait plus de 1 300 directions IP. Cette campagne affecte les appareils comme les caméras AVTech et les routeurs Huawei, en particulier le modèle HG532. En utilisant le système Qualys EDR (Endpoint Detection & Response), associé à des données d’intelligence de mesures et de sources ouvertes (OSINT), les experts de Qualys confirment que Murdoc_Botnet est une variante de Mirai.
L’analyse de la nouvelle variante, construite comme Murdoc_Botnet, de Mirai, a été détectée par plus de 100 ensembles de serveurs et plus de 1.300 directions IP actives.
Murdoc_Botnet utilise des exploits connus, comme CVE-2024-7029 et CVE-2017-17215, pour injecter des charges utiles sur les appareils. Le virus de l’infection est basé sur les archives ELF et ShellScript, qui sont chargées sur l’appareil, permettant au serveur C2 d’installer le botnet. Plus de 100 réseaux de serveurs sont identifiés comme responsables de la communication avec les compromissions IP.
Recommandations de sécurité
Pour vous protéger, l’Unité de recherche sur les moyens de Qualys recommande les méthodes suivantes :
- Surveillance périodique: Superviser régulièrement les processus spécifiques, les événements et le trafic rouge générés par l’exécution de n’importe quel binaire ou script non confiable.
- Précaution concernant les scripts de Shell: Soyez attentif à l’exécution des scripts de shell provenant de sources mal connues.
- Actualisation des systèmes et du micrologiciel: Maintenir les systèmes et le firmware mis à jour avec les dernières versions et parches disponibles.
