Les équipes d’Elastic Security Labs ont découvert une vaste campagne de logiciels malveillants sous Linux ciblant les serveurs mal sécurisés. Il pourrait s’agir d’un minage illégal exploitant des API de jeux en compromettant les hôtes.
Voici quelques détails :
-
La compromission initiale a eu lieu en mars 2024 par l’exploitation d’un serveur web Apache2.
-
Les auteurs de la menace ont utilisé une combinaison d’outils et de logiciels malveillants, dont GSOCKET, pour créer des canaux de commande et de contrôle chiffrés déguisés en processus du kernel, des bots de télégrammes pour la communication et des tâches cron pour l’exécution de tâches programmées.
-
Ils ont également déployé plusieurs familles de logiciels malveillants, tels que KAIJI, connu pour ses capacités DDoS, et RUDEDEVIL, un mineur de cryptomonnaie, ainsi que des logiciels malveillants écrits sur mesure.
-
Elastic Security Labs a eu accès à un partage de fichiers qui hébergeait des téléchargements quotidiens d’échantillons frais de KAIJI avec des hachages inédits.
L’enquête détaillée : https://security-labs-elastic-o3p9rb9tj-elastic-dev.vercel.app/security-labs/betting-on-bots