Lorsque nous avons initialement fait état de cette menace en juin, les chercheurs de Barracuda avaient constaté un flux constant d’attaques visant à exploiter cette vulnérabilité, avec plusieurs pics importants. Nos chercheurs ont continué à surveiller ces attaques et cette tendance s’est poursuivie, le volume global n’ayant que légèrement baissé en août. Les attaquants n’ont manifestement pas renoncé à tenter d’exploiter cette vulnérabilité.

Dans l’article initial d’actualités sur les menaces, nous avions examiné certaines des charges utiles livrées et les sources des attaques. Dans cet article suivant, nous examinons plus en détail quelques-unes des charges utiles livrées par des acteurs malveillants qui tentent d’exploiter la vulnérabilité CVE-2022-26134.

Exemples de charges utiles

Étudions tout d’abord une tentative de diffusion du logiciel malveillant Gafgyt de type botnet par DDoS.

Exemple 1 : logiciel malveillant de type botnet par DDoS
Voici la charge utile telle qu’elle a été livrée :

Elle se décode comme suit :

L’adresse IP de cette charge utile transmet un script shell qui est exécuté puis supprimé. En accédant à cette adresse IP, nous trouvons un répertoire ouvert comportant un certain nombre d’exécutables, chacun semblant destiné à un type différent de système d’exploitation et d’architecture.

En ouvrant le script shell, nous pouvons voir qu’il télécharge ces exécutables, puis les exécute sur le système où il a été lancé.

L’attaquant tente essentiellement de créer un membre du botnet sur tout système pouvant être infecté. En fonction du système d’exploitation et de l’architecture du système infecté, l’un de ces exécutables sera exécuté et le système finira par faire partie du botnet. Gafgyt a agi de la sorte par le passé avec d’autres vulnérabilités et le phénomène se poursuit aujourd’hui avec cette vulnérabilité.

L’adresse IP en question sert à télécharger ces logiciels malveillants depuis un certain temps déjà et a été documentée dans la base de données URLhaus d’abuse.ch. Il semble que les premières soumissions remontent à la fin du mois de mai de cette année et l’hôte n’a pas encore été supprimé au moment de la rédaction du présent article.

2. Extrait d’URLhaus pour le botnet Gafgyt

Exemple 2 : cryptomineur Monero
Passons maintenant aux charges utiles des cryptomineurs, en commençant par un cryptomineur Monero qui tente d’infecter une installation Windows :

La charge utile utilise PowerShell pour exécuter un script codé en Base64 qui est décodé comme suit :

Il s’agit d’un script PowerShell qui commence par désactiver la surveillance en temps réel de Windows Defender, puis met fin à un certain nombre de services. Une fois ces services supprimés, il vérifie si une instance de mineur Monero est déjà en cours d’exécution. Si tel est le cas, le script met fin à l’instance existante pour maximiser les ressources sur l’hôte infecté. Ensuite, il télécharge un fichier nommé "mad.bat".

Une capture d’écran tronquée est présentée ci-dessous :

Mad.bat installe le mineur proprement dit et les logiciels supplémentaires nécessaires, dont 7zip pour décompresser le logiciel de minage.

Exemple 3 : cryptomineur à double encodage

Bien que la charge utile réelle ait été supprimée et ne soit plus disponible à des fins d’analyse, il semble, d’après URLhaus et VirusTotal, qu’il s’agisse d’un cryptomineur ciblant spécifiquement les systèmes Linux. D’après d’autres discussions en ligne, il semble que l’argument " ?load" varie d’une attaque à l’autre ; d’autres variantes sont " ?c4k" et " ?c5k". Les arguments sont apparemment utilisés en interne par le binaire réel et servent à se connecter à des services de minage spécifiques.

La même adresse IP a également transmis une variante Windows comme le montre la charge utile suivante :

Elle se décode comme suit :

Là encore, la charge utile n’est plus disponible, donc nous spéculons quelque peu à partir de ce que nous avons observé de l’adresse IP et du nom de fichier. Elle est probablement similaire à la variante Linux et susceptible de télécharger le cryptomineur proprement dit. La mention "lol" dans le nom du fichier peut faire référence à la technique d’attaque "living off the land" (littéralement "vivre de la terre"), dans laquelle le logiciel malveillant utilise les outils existants disponibles sur le système d’exploitation pour effectuer ses actions, réduisant ainsi les chances d’être détecté en tant que malware par tout antivirus fonctionnant sur le système.

Dans notre prochaine et dernière partie de cette série d’actualités des menaces, nous nous intéresserons à un autre cryptomineur qui a été détecté dans des tentatives d’exploitation de cette vulnérabilité. Il est un peu plus intéressant et nous avons pu capter la totalité de la charge utile pour une analyse détaillée.

3. Voici l’hôte présentant tous les logiciels malveillants du botnet par DDoS Gafgyt pour différents types de systèmes d’exploitation et d’architectures.