S'inscrire

Cybersécurité - 22/01/2025

Des pirates informatiques exploitent la faille zero-day des routeurs cnPilot pour déployer le botnet DDoS AIRASHI

Hacker utilisant un outil de cybersécurité

Les acteurs de la menace exploitent une vulnérabilité zero-day non spécifiée dans les routeurs cnPilot de Cambium Networks pour déployer une variante du botnet AISURU appelée AIRASHI afin de mener des attaques par déni de service distribué (DDoS).

Selon QiAnXin XLab, les attaques ont exploité la faille de sécurité depuis juin 2024. Des détails supplémentaires sur les lacunes ont été retenus pour éviter de nouveaux abus.

Certaines des autres failles exploitées par le botnet de déni de service distribué (DDoS) incluent CVE-2013-3307 , CVE-2016-20016 , CVE-2017-5259 , CVE-2018-14558 , CVE-2020-25499 , CVE-2020-8515 , CVE-2022-3573 , CVE-2022-40005 , CVE-2022-44149 , CVE-2023-28771 , ainsi que celles affectant les caméras IP AVTECH, les DVR LILIN et les appareils TVT de Shenzhen.

« L’opérateur d’AIRASHI a publié les résultats de ses tests de capacité DDoS sur Telegram », a déclaré XLab. « D’après les données historiques, on peut observer que la capacité d’attaque du botnet AIRASHI reste stable autour de 1 à 3 Tbps. »

La majorité des appareils compromis se trouvent au Brésil, en Russie, au Vietnam et en Indonésie, la Chine, les États-Unis, la Pologne et la Russie étant les principales cibles de l’essaim malveillant.

AIRASHI est une variante du botnet AISURU (alias NAKOTNE) qui avait été précédemment signalé par la société de cybersécurité en août 2024 dans le cadre d’une attaque DDoS ciblant Steam à peu près au même moment, coïncidant avec le lancement du jeu Black Myth : Wukong .

Un botnet fréquemment mis à jour, certaines variantes d’AIRASHI ont également été trouvées incorporant des fonctionnalités de proxyware, indiquant que les acteurs de la menace ont l’intention d’étendre leurs services au-delà de la facilitation des attaques DDoS.

AISURU aurait temporairement suspendu ses activités d’attaque en septembre 2024, pour réapparaître un mois plus tard avec des fonctionnalités mises à jour (surnommées kitty) et rafraîchies une deuxième fois fin novembre (alias AIRASHI).

« L’échantillon de chaton a commencé à se propager début octobre 2024 », a noté XLab. « Par rapport aux échantillons AISURU précédents, il a simplifié le protocole réseau. Fin octobre, il a commencé à utiliser des proxys SOCKS5 pour communiquer avec le serveur C2. »

AIRASHI, en revanche, existe en au moins deux saveurs différentes :

  • AIRASHI-DDoS (détecté pour la première fois fin octobre), qui se concentre principalement sur les attaques DDoS, mais prend également en charge l’exécution de commandes arbitraires et l’accès inversé au shell
  • AIRASHI-Proxy (détecté pour la première fois début décembre), qui est une version modifiée d’AIRASHI-DDoS avec fonctionnalité proxy
Botnet DDoS AIRASHI />

Le botnet, en plus de peaufiner en permanence ses méthodes pour obtenir les détails du serveur C2 via des requêtes DNS, s’appuie sur un protocole réseau entièrement nouveau qui implique les algorithmes HMAC-SHA256 et CHACHA20 pour la communication. De plus, AIRASHI-DDoS prend en charge 13 types de messages, tandis qu’AIRASHI-Proxy ne prend en charge que 5 types de messages.

Les résultats montrent que les acteurs malveillants continuent d’exploiter les vulnérabilités des appareils IoT à la fois comme vecteur d’accès initial et pour créer des botnets qui les utilisent pour donner plus de poids à de puissantes attaques DDoS.

Cette découverte intervient alors que QiAnXin a mis en lumière une porte dérobée multiplateforme appelée alphatronBot qui a ciblé le gouvernement et les entreprises chinoises pour enrôler les systèmes Windows et Linux infectés dans un botnet. Actif depuis le début de l’année 2023, le malware a adopté une application de chat peer-to-peer (P2P) open source légitime appelée PeerChat pour communiquer avec d’autres nœuds infectés.

La nature décentralisée du protocole P2P signifie qu’un attaquant peut émettre des commandes via n’importe lequel des nœuds compromis sans avoir à les acheminer via un seul serveur C2, rendant ainsi le botnet beaucoup plus résistant aux démantèlements.

« Les plus de 700 réseaux P2P intégrés dans la porte dérobée sont constitués de composants de périphériques réseau infectés provenant de 80 pays et territoires », a déclaré la société . « Les nœuds impliquent des routeurs MikroTik, des caméras Hikvision, des serveurs VPS, des routeurs DLink, des périphériques CPE, etc. »

L’année dernière, XLab a également détaillé un cadre de livraison de charge utile sophistiqué et furtif nommé DarkCracks qui exploite les sites GLPI et WordPress compromis pour fonctionner comme des téléchargeurs et des serveurs C2.

« Ses principaux objectifs sont de collecter des informations sensibles à partir d’appareils infectés, de maintenir un accès à long terme et d’utiliser les appareils compromis, stables et à hautes performances comme nœuds relais pour contrôler d’autres appareils ou délivrer des charges utiles malveillantes, masquant ainsi efficacement l’empreinte de l’attaquant », a-t-il déclaré .

« Les systèmes compromis appartenaient à des infrastructures critiques dans différents pays, notamment des sites Web d’écoles, des systèmes de transport public et des systèmes de visite des prisons. »

Sujets récents