New ShadowV2 botnet malware used AWS outage as a test opportunity

ShadowV2 : une nouvelle menace pour les objets connectés

Une nouvelle campagne de malware, baptisée ShadowV2 et basée sur Mirai, cible activement des appareils IoT de marques comme D-Link, TP-Link et d’autres en exploitant des vulnérabilités connues. L’activité de ShadowV2 a été particulièrement observée lors de la panne majeure d’AWS en octobre, suggérant une possible période de test.

Points Clés :

• Nature du Malware : ShadowV2 est une botnet d’objets connectés, similaire à la variante Mirai LZRD.
• Cibles : Le malware vise des routeurs, des appareils NAS et des DVR.
• Distribution : Il utilise un script téléchargeur (binary.sh) pour s’installer sur les appareils vulnérables.
• Fonctionnalités : Il est capable de lancer des attaques par déni de service distribué (DDoS) sur les protocoles UDP, TCP et HTTP.
• Impact Géographique : Les attaques ont été détectées dans le monde entier, sur tous les continents.
• Objectifs Incertains : Les motivations et la stratégie de monétisation de l’opérateur de ShadowV2 ne sont pas encore connues.

Vulnérabilités exploitées (avec CVE si disponibles) :

• DD-WRT : CVE-2009-2765
• D-Link : CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915
• DigiEver : CVE-2023-52163
• TBK : CVE-2024-3721
• TP-Link : CVE-2024-53375

Parmi celles-ci, CVE-2024-10914 est une faille d’injection de commandes déjà exploitée, affectant des appareils D-Link en fin de vie et non corrigés. D-Link a confirmé qu’elle ne fournira pas de correctifs pour certains de ces appareils affectés.

Recommandations :

• Mise à jour du Firmware : Maintenir le firmware des appareils IoT à jour est crucial.
• Surveillance : Les indicateurs de compromission (IoCs) partagés par Fortinet peuvent aider à identifier cette menace émergente.

Source