Prowli Malware Ciblant des serveurs, des routeurs et des appareils IoT

Après la découverte de l’énorme botnet de malware VPNFilter , les chercheurs en sécurité ont découvert un autre botnet géant qui a déjà compromis plus de 40 000 serveurs, modems et appareils connectés à Internet appartenant à un grand nombre d’organisations à travers le monde.

Baptisée Operation Prowli , cette campagne a propagé des logiciels malveillants et injecté du code malveillant pour prendre le contrôle de serveurs et de sites Web à travers le monde en utilisant diverses techniques d’attaque, notamment l’utilisation d’exploits, le forçage de mots de passe et l’abus de configurations faibles.

Découvert par des chercheurs de l’équipe de sécurité GuardiCore, Opération Prowli a déjà frappé plus de 40 000 machines victimes de plus de 9 000 entreprises dans divers domaines, y compris les finances, l’éducation et les organisations gouvernementales.

Voici la liste des périphériques et services infectés par le malware Prowli :

  • Serveurs CMS Drupal et WordPress hébergeant des sites Web populaires
  • Joomla ! serveurs exécutant l’extension K2
  • Serveurs de sauvegarde exécutant le logiciel HP Data Protector
  • Modems DSL
  • Serveurs avec un port SSH ouvert
  • Installations PhpMyAdmin
  • Boîtes NFS
  • Serveurs avec ports SMB exposés
  • Dispositifs d’Internet vulnérables (IoT) vulnérables

Toutes les cibles ci-dessus ont été infectées à l’aide d’une vulnérabilité connue ou d’une estimation des informations d’identification.

Prowli Malware Injects Mineur Cryptocurrency

Puisque les attaquants derrière l’attaque de Prowli abusent des dispositifs infectés et des sites Web pour extraire la cryptomonnaie ou exécuter un script qui les redirige vers des sites Web malveillants, les chercheurs croient qu’ils sont plus concentrés sur l’argent que sur l’idéologie ou l’espionnage.

Selon les chercheurs de GuardiCore, les dispositifs compromis ont été trouvés infectés par un mineur de crypto- monnaie Monero (XMR) et le ver "r2r2" - un malware écrit dans Golang qui exécute des attaques SSH par force brute à partir des dispositifs infectés, permettant au malware Prowli de prendre le contrôle nouveaux appareils.

En termes simples, "r2r2 génère aléatoirement des blocs d’adresses IP et essaye itérativement de forcer des connexions SSH avec un dictionnaire d’utilisateur et de mot de passe, et une fois qu’il intervient, il exécute une série de commandes sur la victime".

Ces commandes sont responsables du téléchargement de plusieurs copies du ver pour différentes architectures CPU, d’un mineur de crypto-monnaie et d’un fichier de configuration à partir d’un serveur codé en dur distant.

Les attaquants incitent également les utilisateurs à installer des extensions malveillantes

Outre le cryptocurrency mineur, les attaquants utilisent également une interface web open source bien connue appelée "WSO Web Shell" pour modifier les serveurs compromis, permettant éventuellement aux attaquants de rediriger les visiteurs des sites vers de faux sites distribuant des extensions de navigateur malveillantes .

L’équipe GuardiCore a retracé la campagne sur plusieurs réseaux à travers le monde
et a trouvé la campagne Prowli associée à différentes industries.

"Sur une période de 3 semaines, nous avons capturé des douzaines de ces attaques par jour provenant de plus de 180 IP provenant de divers pays et organisations", ont déclaré les chercheurs. "Ces attaques nous ont menés à enquêter sur l’infrastructure des attaquants et à découvrir une opération de grande envergure attaquant plusieurs services."

Comment protéger vos appareils contre les attaques malveillantes de type Prowli

Étant donné que les pirates utilisent une combinaison de vulnérabilités connues et de devinettes pour compromettre les périphériques, les utilisateurs doivent s’assurer que leurs systèmes sont corrigés et à jour et qu’ils utilisent toujours des mots de passe forts pour leurs périphériques.

De plus, les utilisateurs devraient également envisager de verrouiller les systèmes et de segmenter les systèmes vulnérables ou difficiles à sécuriser, afin de les séparer du reste de leur réseau.

Le mois dernier, un gigantesque botnet, dénommé VPNFilter , a été trouvé infectant un demi-million de routeurs et périphériques de stockage d’un large éventail de fabricants dans 54 pays avec un logiciel malveillant capable de mener des cyber-opérations destructrices, de surveillance et de manipulation. attaques moyennes.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image