Les chercheurs en sécurité tirent la sonnette d’alarme sur une nouvelle variante du botnet Mirai surnommée MooBot, qui cible les appareils D-Link. La nouvelle menace utilise plusieurs techniques d’exploitation.
MooBot est apparu pour la première fois en 2019, détournant les enregistreurs vidéo numériques LILIN et les produits de surveillance vidéo Hikvision pour les intégrer à une famille de bots de déni de service.
Détecter MooBot
Pour détecter l’ID de signature de l’échantillon MooBot dans votre système, utilisez la règle Sigma suivante fournie par le développeur de premier plan SOC Prime Threat Bounty, Nattatorn Chuensangarun :
La règle de détection est alignée sur le cadre MITRE ATT&CK® v.10, abordant la tactique de Mouvement Latéral représentée par la technique Exploitation de Services à Distance (T1210).
Notre bibliothèque de contenu SOC regroupe plus de 200 000 algorithmes de détection et de réponse directement associés aux cadres CVE et MITRE ATT&CK®, vous permettant de résister aux cyber-attaques notoires dès les premières étapes de l’intrusion. Obtenez un accès instantané en cliquant sur le bouton Explorer les détections .
Analyse de MooBot
Les conclusions proviennent de Unit 42 de Palo Alto Networks, qui affirme que les acteurs de la menace exploitent les vulnérabilités D-Link suivantes, de sévérité élevée et critique : CVE-2015-2051, CVE-2018-6530, CVE-2022-26258 et CVE-2022-28958. Si les adversaires réussissent leurs tentatives d’exploitation, ils peuvent exécuter un code malveillant à distance et récupérer la charge utile de MooBot pour compromettre les appareils réseau fonctionnant sous Linux. Une fois qu’ils ont pris le contrôle total de l’appareil, le ciel est la limite pour leurs plans malveillants. Avec une forte probabilité, les adversaires passent à des attaques DDoS vicieuses.
Le botnet basé sur Mirai appelé MooBot peut entraîner un impact critique sur la sécurité ; les conséquences graves de ces attaques incitent les utilisateurs des dispositifs vulnérables à corriger les failles le plus rapidement possible.
L’augmentation du nombre et de la gravité des cyberattaques dans le monde entier crée une surface d’attaque élargie, mettant chaque jour davantage d’individus et d’entreprises en danger. Pour équiper votre entreprise des meilleures pratiques de sécurité, inscrivez-vous à la Plateforme SOC Prime.
