Détection de la Variante Mirai V3G4 : Nouvelle Version de Botnet Exploitant 13 Vulnérabilités pour Cibler les Serveurs Linux et les Appareils IoT
Table des matières :
Les acteurs de la menace enrichissent constamment leurs outils offensifs tout en expérimentant de nouvelles variantes de logiciels malveillants sophistiqués pour élargir le périmètre des attaques. Les défenseurs cyber ont observé un nouveau botnet Mirai nommé V3G4 attirer l’attention dans le paysage des menaces cyber. La nouvelle variante de malware a été utilisée dans de multiples campagnes adversaires menaçant les utilisateurs ciblés pendant plus de six mois depuis juillet 2022. En exploitant certaines vulnérabilités d’un ensemble de dispositifs IoT, la variante Mirai V3G4 peut conduire à l’exécution de code à distance (RCE) et à des attaques par déni de service (DDoS).
Détection de la variante V3G4 de Mirai
Étant donné l’augmentation du volume et de la sophistication des attaques utilisant la nouvelle variante V3G4 de Mirai, les spécialistes de la sécurité ont besoin d’une source fiable de contenu de détection pour identifier l’activité malveillante associée et défendre de manière proactive l’infrastructure organisationnelle.
La plateforme Detection as Code de SOC Prime offre une règle Sigma dédiée par notre développeur de Threat Bounty passionné Wirapong Petshagun détectant les modèles d’exploitation de l’exécution de commande à distance de Mitel AWC dans les journaux de serveurs web liés à la dernière activité V3G4 :
La détection est alignée sur le cadre MITRE ATT&CK v12, traitant de la tactique d’accès initial avec exploitation d’application exposée au public (T1190) appliquée comme technique principale. La règle Sigma peut être automatiquement traduite en 16 solutions SIEM, EDR et XDR, réduisant le temps de détection des menaces multi-plateformes.
Envi de rejoindre les rangs des défenseurs cyber ? Rejoignez notre Programme Threat Bounty pour monétiser votre contenu de détection exclusif tout en enrichissant votre CV et en affinant vos compétences en ingénierie de détection. Publiées sur le plus grand marché mondial de détection des menaces et explorées par plus de 8 000 organisations dans le monde entier, vos règles Sigma peuvent aider à détecter les menaces émergentes et à rendre le monde plus sûr tout en accordant des bénéfices financiers récurrents.
Pour explorer toute la série de règles Sigma détectant l’activité malveillante associée au malware Mirai, appuyez sur le bouton Explorer les détections . Les règles sont accompagnées de métadonnées étendues, y compris des liens CTI correspondants, des références ATT&CK et des idées de chasse aux menaces.
Description de la variante V3G4 de Mirai
Le malware Mirai infâme a été un casse-tête pour les défenseurs cyber, constamment mis à jour et enrichi de nouvelles capacités offensives. En septembre, les acteurs de la menace derrière le botnet Mirai ont sorti son itération piégeuse connue sous le nom de MooBot, affectant les dispositifs D-Link et exploitant une large gamme de techniques d’exploitation.
La nouvelle variante du botnet Mirai baptisée V3G4 a été remarquée dans l’arène des menaces cyber depuis la mi-été 2022, ciblant les serveurs basés sur Linux et les dispositifs de mise en réseau. Selon les recherches de Palo Alto Networks Unit 42, les versions échantillonnées du malware observées dans trois campagnes adversaires sont très probablement attribuées à un collectif de hackers basé sur les domaines C2 codés en dur contenant la même chaîne, l’utilisation de la même clé de décryptage XOR et des installateurs de scripts shell, ainsi que d’autres capacités offensives avec des modèles similaires.
Dans les attaques en cours, le botnet Mirai cible 13 vulnérabilités non corrigées dans des dispositifs IoT, tentant de causer RCE et donnant aux adversaires le feu vert pour des attaques DDoS potentielles. Les exploits ciblent le RCE, l’injection de commande et les vulnérabilités d’injection Object-Graph Navigation Language (OGNL) dans une large gamme de dispositifs IoT, y compris FreePBX Elastix, Gitorious, les webcams FRITZ!Box, Webmin, Spree Commerce, Atlassian Confluence, et d’autres produits populaires.
Notamment, contrairement à d’autres versions de Mirai, la nouvelle variante V3G4 applique une clé XOR unique pour le chiffrement des chaînes pour chaque cas d’utilisation. Avant de se connecter au serveur C2, V3G4 initialise les fonctions d’attaque DDoS, prêtes pour tenter des attaques DDoS une fois la connexion établie.
La variante V3G4 de Mirai peut avoir un impact sévère sur la sécurité des systèmes touchés après une exploitation réussie de vulnérabilités, conduisant à RCE et à d’autres attaques, ce qui nécessite une ultra-réactivité de la part des défenseurs cyber.
Atteignez 800+ règles Sigma pour détecter de manière proactive les tentatives d’exploitation des CVEs actuels et émergents et restez toujours une longueur d’avance sur les adversaires. Obtenez 140+ règles Sigma gratuitement ou bénéficiez de détections Premium pertinentes de votre choix avec On Demand sur https://my.socprime.com/pricing/.
