Des chercheurs en sécurité ont découvert un nouveau botnet basé sur Mirai qui utilise des exploits Zero Day pour se propager sur les routeurs industriels et les appareils domestiques intelligents.
Le botnet au nom offensant « gayfemboy » a été découvert pour la première fois par le cabinet de recherche chinois Qi’anxin XLab en février 2024. Pourtant, même si ses premières itérations étaient des versions banales de Mirai, ses développeurs ont depuis intensifié leurs efforts, incorporant n-day et zéro- exploitation quotidienne des vulnérabilités pour l’aider à se développer.
Dans l’ensemble, le botnet utilise plus de 20 vulnérabilités et mots de passe Telnet faibles pour se propager, selon XLab. La société affirme avoir observé environ 15 000 adresses IP actives situées principalement en Chine, en Russie, aux États-Unis, en Iran et en Turquie.
Le botnet lance des attaques DDoS par intermittence depuis février 2024, avec un pic d’activité à ce jour en octobre et novembre de l’année dernière. Des centaines de cibles dans différents secteurs seraient attaquées chaque jour – principalement en Chine, aux États-Unis, en Allemagne, au Royaume-Uni et à Singapour.
En fait, les gardiens du botnet ont activé l’outil sur XLab, après avoir enregistré certains noms de domaines de commande et de contrôle (C2) afin de procéder à une analyse plus approfondie.
« Nous avons résolu le nom de domaine enregistré vers le VPS de notre fournisseur de cloud. Après avoir découvert cela, le propriétaire a commencé à lancer régulièrement des attaques DDoS sur notre nom de domaine enregistré, chaque attaque durant 10 à 30 secondes », XLab dit.
“Une fois que le fournisseur de cloud a découvert que notre VPS avait été attaqué, il bloquerait immédiatement notre trafic VPS pendant plus de 24 heures, ce qui empêcherait notre VPS de fournir des services et le rendrait inaccessible (notre VPS a été tué par le fournisseur de cloud avant il a été tué par [the botnet]car il s’agit de la politique de service du fournisseur de cloud). Une fois le service VPS restauré, il a de nouveau attaqué.
Comme les chercheurs ne disposaient d’aucun service d’atténuation DDoS pour les protéger, ils ont finalement été contraints d’arrêter de résoudre le nom de domaine C2.
#nouveau #botnet #Mirai #exploite #Day #dans #les #routeurs #les #appareils #intelligents