• Votre panier est vide.

  • LOGIN

Un nouveau botnet peer-to-peer basé sur Golang ciblant les serveurs Linux


Certains articles de veille peuvent faire l'objet de traduction automatique.


Un nouveau botnet peer-to-peer (P2P) basé sur Golang a été repéré ciblant activement les serveurs Linux dans le secteur de l’éducation depuis son émergence en mars 2022.

Doublé Panchan par Akamai Security Research, le malware « utilise ses fonctionnalités de simultanéité intégrées pour maximiser la propagation et exécuter des modules de malware » et « récolte les clés SSH pour effectuer un mouvement latéral ».

La cyber-sécurité

Le botnet riche en fonctionnalités, qui s’appuie sur une liste de base de mots de passe SSH par défaut pour effectuer une attaque par dictionnaire et étendre sa portée, fonctionne principalement comme un cryptojacker conçu pour détourner les ressources d’un ordinateur pour extraire des crypto-monnaies.

La société de cybersécurité et de services cloud a noté qu’elle avait repéré l’activité de Panchan pour la première fois le 19 mars 2022 et attribué le logiciel malveillant à un acteur de menace japonais probable en fonction de la langue utilisée dans le panneau d’administration intégré au binaire pour modifier la configuration de minage.

Panchan est connu pour déployer et exécuter deux mineurs, XMRig et nbhash, sur l’hôte pendant l’exécution, la nouveauté étant que les mineurs ne sont pas extraits sur le disque pour éviter de laisser une trace médico-légale.

« Pour éviter la détection et réduire la traçabilité, le malware dépose ses cryptomineurs sous forme de fichiers mappés en mémoire, sans aucune présence sur le disque », ont déclaré les chercheurs. « Il tue également les processus de cryptominage s’il détecte une surveillance de processus. »

Sur les 209 pairs infectés détectés à ce jour, 40 seraient actuellement actifs. La plupart des machines compromises se trouvent en Asie (64), suivie de l’Europe (52), de l’Amérique du Nord (45), de l’Amérique du Sud (11), de l’Afrique (1) et de l’Océanie (1).

La cyber-sécurité

Un indice intéressant sur les origines du malware est le résultat d’une défaillance OPSEC de la part de l’acteur de la menace, révélant le lien vers un serveur Discord qui s’affiche dans le panneau d’administration « godmode ».

« Le chat principal était vide, à l’exception d’une salutation d’un autre membre qui s’est produite en mars », ont déclaré les chercheurs. « Il se peut que d’autres chats ne soient disponibles que pour les membres privilégiés du serveur. »

Voir aussi :

juin 16, 2022

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)