Eclypsium dévoile deux nouveaux malware : condibot et monaco
La firme de sécurité cibéroffensive Eclypsium a récemment identifié deux nouveaux échantillons de logiciels malveillants qui n'avaient jamais été détectés auparavant. CondiBot et Monaco, ces deux menaces informatiques ont fait leur apparition pour la première fois le 6 mars de cette année.
Un changement de tendance dans les attaques récents
Selon Eclypsium, ces nouvelles menaces montrent une tendance en évolution dans les attaques des derniers mois, qui ne se résume pas uniquement à des groupes soutenus par des États, mais également à des cybercriminels liés à des opérations de minage de cryptomonnaies.
La découverte d'un agent d'intelligence artificielle minant secrètement des cryptomonnaies et les cachant sur un serveur externe en est un exemple.
Condibot, une variante ddos de botnet
CondiBot est une variante DDoS dérivée de Mirai, conçue pour que les appareils Linux compromis forment une botnet capable d'attaquer à grande échelle. Outre Fortinet, cet agent générique de botnet Linux tente différents méthodes de téléchargement sur divers fichiers contenant des charges utiles.
Une fois téléchargé et installé, le bot commence à agir, désactive les capacités de redémarrage et se connecte à un serveur C2, maintenant activé le service botnet pour finalement piétiner d'autres réseaux de bots.
Monaco, un échelon ssh et un minage de cryptomonnaie
Monaco est un échelon SSH et un minérateur de cryptomonnaie, écrit en Go, conçu pour lancer des attaques de force brute contre des serveurs SSH et convertir l'appareil infecté en une nouvelle source de revenus pour les attaquants.
Il scanne des adresses IP publiques aléatoires pour SSH, utilisant le port 22, sans inclure les plages privées ou réservées ; puis il lance une attaque de force brute avec des mots de passe de base, tels que admin, ubuntu, root, etc.
Comme Eclypsium l'a signalé, ce malware élimine les autres compétiteurs dans la minage de cryptomonnaie et semble avoir des liens avec des individus de langue chinoise, car il est hébergé sur Alibaba Cloud Singapore (IP 8.222.206.6).
Ces nouvelles menaces démontrent que les appareils de réseau sont également un objectif à prendre en compte lors de l'application de politiques de sécurité cibéroffensive aux entreprises.
En effet, selon des rapports d'équipes d'investigation, comme celui de Google, les acteurs de menaces persistants priorisent désormais les appareils de réseau comme un vecteur d'attaque initial, pouvant se déplacer de manière latérale au sein de la structure de l'organisation.