Depuis le début de l'année, les cybercriminels ciblent les vulnérabilités Cacti et Realtek sur des serveurs Windows et Linux exploitables. Dans deux attaques différentes, les acteurs de la menace ont infecté les victimes avec les logiciels malveillants ShellBot (alias PerlBot) et Moobot botnet.

Selon les chercheurs de Fortinet, Moobot - une variante de Mirai - cible une vulnérabilité d'injection de commande arbitraire (CVE-2021-35394) dans Realtek Jungle SDK et une vulnérabilité d'injection de commande (CVE-2022-46169) dans Cacti.

Les attaquants prennent le contrôle des systèmes vulnérables pour télécharger un script contenant la configuration du logiciel malveillant et établir une connexion avec le serveur C2. La dernière variante de Moobot recherche d'autres bots connus et tue leurs processus afin d'exploiter au maximum la puissance matérielle de l'hôte infecté pour lancer des attaques DDoS.

Les attaquants ont principalement ciblé la faille Cacti pour déployer les trois nouvelles variantes de ShellBot : PowerBots (C) GohacK, LiGhT's Modded perlbot v2 et B0tchZ 0.2a.

La première variante établit une connexion avec les serveurs C2 et attend des ordres pour exécuter des activités malveillantes.

La seconde variante dispose d'un ensemble de commandes beaucoup plus étendu et comprend de nombreux types d'attaques par inondation, un module d'amélioration des exploits et des fonctions de piratage. Elle est devenue active et a déjà fait des centaines de victimes.

La troisième variante contient une configuration avec de nombreuses commandes permettant d'effectuer des activités malveillantes et de cibler des serveurs Cacti vulnérables.

Bien que les fournisseurs concernés aient immédiatement publié des mises à jour logicielles pour résoudre le problème, de nombreuses organisations continuent d'utiliser des appareils vulnérables. Il est conseillé aux organisations de mettre à jour Cacti et Realtek vers des versions corrigées dès que possible.