Nouvelle variante "prioritaire" de Demonbot attaquant les appareils IoT

Les chercheurs ont repéré une nouvelle variante de Demonbot ciblant les appareils IoT des attaquants autoproclamés surnommés Priority. Cette nouvelle variante a été trouvée ciblant les caméras de surveillance Defeway.

État des lieux 

  • Cette nouvelle variante de Demonbot est basée sur le code de Mirai et utilise un exploit Hadoop YARN.
  • La dernière variante cible les ports 5500, 5501, 5502, 5050 et 60001 en utilisant une commande simple qui utilise l'exploit d'exécution de commande non authentifiée MVPower DVR Shell.
  • Les attaquants utilisent un seul exploit et se concentrent principalement sur le port 60001. Les experts soupçonnent que les autres ports ne sont qu'un détournement; la raison pourrait être que les attaquants ont un objectif spécifique en tête.
  • En plus de cela, l'attaquant est passé de 128 [.] 199 [.] 15 [.] 87 à 64 [.] 227 [.] 97 [.] 145 adresse IP d'où toutes les attaques provenaient. Les adresses IP appartiennent au fournisseur VPS DigitalOcean.

Solution

Les appareils IoT sont toujours considérés comme des liens relativement peu sûrs dans le paysage technologique global et nécessitent un ensemble différent de précautions. Les experts conseillent aux utilisateurs de patcher régulièrement tous les appareils IoT et de changer le mot de passe par défaut par un mot de passe fort. En outre, la cartographie régulière de tous les appareils sur le réseau de l'entreprise et l'analyse du réseau à la recherche d'activités malveillantes peuvent aider à se protéger contre de telles menaces.

Source : cyware.com