#faille #wireless
Andoryu, un nouveau botnet en développement, exploite une faille de sécurité corrigée dans le panneau d’administration Ruckus Wireless pour compromettre des appareils vulnérables. La vulnérabilité (CVE-2023-25717, score CVSS : 9,8) permet une exécution de code à distance non authentifiée et compromet les points d’accès sans fil (AP).
Andoryu a été découvert par la société chinoise de cybersécurité QiAnXin et utilise le protocole SOCKS5 pour communiquer avec des serveurs de commande et de contrôle (C2). En plus d’exploiter des failles d’exécution de code à distance dans GitLab et Lilin DVR, Andoryu élargit son arsenal en exploitant la faille CVE-2023-25717.
Le botnet Andoryu intègre des modules d’attaque DDoS pour différents protocoles et communique avec son serveur C2 via des proxys SOCKS5. La campagne la plus récente a débuté en avril 2023.
Après avoir exploité la faille de Ruckus, Andoryu dépose un script provenant d’un serveur distant sur les appareils infectés pour les propager.
Parallèlement, le botnet RapperBot, spécialisé dans les attaques DDoS, intègre le cryptojacking en installant un mineur de crypto-monnaie Monero sur les systèmes Intel x64 compromis.
RapperBot cible les appareils IoT avec des mots de passe SSH ou Telnet faibles pour étendre le botnet. Fortinet a détecté cette activité en janvier 2023. Les attaques utilisent un script Bash pour télécharger et exécuter des mineurs XMRig et des binaires RapperBot.
Ces développements mettent en évidence la volonté des acteurs malveillants de maximiser leurs gains financiers en exploitant les botnets. Par ailleurs, le département de la Justice américain a saisi 13 domaines Internet associés à des services de DDoS à la demande.