Table des matières
Un outil malveillant nommé k4spreader, développé par le gang chinois “8220” (Water Sigbin), a été découvert en juin 2024. Écrit en Cgo, cet outil utilise un packer UPX modifié pour installer divers logiciels malveillants, notamment le botnet DDoS Tsunami et le cryptomineur PwnRig.
Variantes et fonctionnalités de k4spreader
Pour commencer, K4spreader existe en plusieurs variantes (trois identifiées) et continue d’évoluer. Ainsi, il possède des capacités de persistance, d’auto-mise à jour et de téléchargement de nouvelles charges malveillantes. En plus, ces caractéristiques permettent à k4spreader de rester actif sur les systèmes infectés, même après des redémarrages ou des tentatives de suppression.
k4spreader : Exploitation des vulnérabilités
Ensuite, les pirates exploitent des vulnérabilités connues comme CVE-2020-14882, JBoss_AS_3456_RCE et YARN_API_RCE pour propager k4spreader. Une analyse DNS a révélé que les serveurs de commande et de contrôle (C&C) de k4spreader dirigent également le trafic d’autres scripts malveillants et pools miniers, tous affiliés au groupe “8220”. Ces serveurs C&C enregistrent une activité élevée, avec des centaines de milliers de connexions.
k4spreader : Techniques de persistance
En outre, selon une recherche de Xlab, k4spreader utilise trois méthodes pour maintenir sa persistance :
- En premier lieu, modifier le fichier de démarrage bash (.bash_profile) de l’utilisateur pour copier et exécuter un programme malveillant.
- En second lieu, créer un script de service système (/etc/init.d/knlib) pour copier et exécuter le programme en arrière-plan.
- En dernier lieu, créer un fichier de service systemd (/etc/systemd/system/knlibe.service) pour accomplir la même tâche que la méthode précédente.
k4spreader : Capacité d’infection
Par ailleurs, K4spreader injecte les logiciels malveillants Tsunami et PwnRig lors de son exécution. Ces programmes sont stockés dans une table ELF et libérés à l’aide de la fonction k4spreader_utils_ExecuteEmbeddedBin(). Cette structure permet l’ajout futur de nouveaux malwares.
k4spreader : Fonctionnalités de Tsunami et PwnRig
Tsunami est un bot IRC utilisé pour mener des attaques DDoS, tandis que PwnRig est un mineur de crypto-monnaie Monero. En plus, le groupe “8220” utilise ces outils depuis mai 2021 pour générer des revenus via le minage illégal de crypto-monnaies.
k4spreader : Techniques d’évasion
Ce logiciel malveillant désactive les pare-feux, efface les règles iptables, supprime les processus suspects et les tâches planifiées. Ainsi, il enregistre également son état de fonctionnement, ce qui lui permet de rester opérationnel et difficile à détecter.
Téléchargement et exécution de nouvelles charges
Le logiciel malveillant télécharge une version shell de lui-même depuis un serveur C2, exécutant des fonctions similaires à celles de k4spreader sans déployer de nouveaux fichiers malveillants. Cette technique permet aux pirates de maintenir une présence continue sur les systèmes compromis.
Conclusion
En conclusion, K4spreader représente une menace sérieuse en raison de ses capacités d’évasion, de persistance et d’évolution constante. Donc, les administrateurs système doivent rester vigilants et mettre à jour régulièrement leurs défenses pour se protéger contre cette menace en constante mutation.
Enfin, pour plus d’articles sur la cybersécurité, consultez régulièrement GeekFrance.
