Dans un rapport publié le 3 octobre 2023, les chercheurs de NSFOCUS ont annoncé l’identification de 3 variantes du botnet Mirai
, référencées hailBot
, kiraiBot
and catDDoS
.
La variante hailBot
La variante hailBot est développée à partir du code source de Mirai, et son nom est dérivé de la chaîne d’information hail china mainland
émise après son exécution. La distribution du botnet s’effectuerait via les vulnérabilités CVE-2017-17215 (score cvss : 8.8)et CVE-2017-11882 (score cvss : 7.8), mais aussi par Brute Force
. Parmi les modifications observées, les chercheurs de NSFOCUS ont identifié que le go-live data packet
avait été modifié sur la variante hailBot. La variante observée prend en charge 4 méthodes d’attaque DDoS basées sur les protocoles TCP
et UDP
. D’après NSFOCUS, le botnet se concentre toujours sur des attaques exploratoires de test, mais son nombre de serveurs C2 actifs continue d’augmenter.
La variante kiraiBot
La variante kiraiBot s’inspire elle aussi du code source de Mirai et incorpore une nouvelle structure de code avec de nombreux éléments de conception personnelle. Son nom provient de la chaîne d’information kirai dans l’échantillon. La distribution de kiraiBot s’effectue via le port 23
par le biais d’une analyse de mots de passe faibles. La version actuelle de kiraiBot prend en charge 6 modes d’attaque DDoS
.
La variante catDDoS
La variante catDDoS introduit l’algorithme ChaCha20
sur la base du code source de Mirai pour chiffrer et stocker certaines informations clés. Les investigations de NSFOCUS montrent que la variante catDDoS est activement exploitée par les acteurs de la menace, et que la fréquence d’émission des commandes est relativement élevée. 58 % des cibles des attaques de catDDoS sont situées en Chine, suivie par les États-Unis (25 %).
La publication des codes sources de botnets participe à la prolifération des acteurs les exploitant. Une fois en possession du code source, les acteurs de la menace cherchent à améliorer la furtivité du malware, en introduisant notamment de nouveaux algorithmes de chiffrement et une liaison d’IP malveillantes à des domaines bénins à l’aide de ClouDNS
pour échapper à la détection.
Indicateurs de compromission
ipv4:34[.]147[.]16[.]24
ipv4:34[.]165[.]70[.]211
ipv4:34[.]176[.]112[.]249
ipv4:34[.]64[.]52[.]239
ipv4:34[.]69[.]75[.]60
ipv4:34[.]92[.]28[.]223
ipv4:35[.]188[.]240[.]127
ipv4:5[.]181[.]80[.]115
ipv4:5[.]181[.]80[.]120
ipv4:5[.]181[.]80[.]70
ipv4:5[.]181[.]80[.]71
ipv4:139[.]177[.]197[.]168
ipv4:212[.]118[.]43[.]167
ipv4:77[.]105[.]138[.]202
ipv4:84[.]54[.]47[.]93
ipv4:88[.]218[.]62[.]22
ipv4:179[.]43[.]155[.]231
file:33ea03c6fdb4bcd826f99ca7ae8b5907
file:12fe77575c11b698501e2068810823a4
file:3f30a468b56c5761e346f3e709fd098e