Source: Trustwave SpiderLabs — Dans un billet signé Karl Biron, Trustwave dévoile MAD-CAT, un outil d’émulation offensive qui reproduit fidèlement la campagne de corruption de données « Meow » observée depuis 2020, et publie une rétrospective des tendances Shodan jusqu’en 2025.

• MAD-CAT est un outil d’attaque simulée qui cible les six plateformes touchées par « Meow »: MongoDB, Elasticsearch, Cassandra, Redis, CouchDB, Hadoop HDFS. Il supporte les modes non authentifié (sans mécanisme d’auth) et authentifié (identifiants par défaut/faibles), les attaques mono-cible et en masse via CSV, et une architecture extensible (factory pattern). Un environnement Docker Compose fournit six services vulnérables pré-peuplés de données pour des tests sûrs.

• Le workflow d’attaque (4 phases) reproduit la méthodologie Meow: connexion (avec/sans creds), énumération des bases/collections/tables (en excluant les systèmes), corruption de chaque champ chaîne/numérique par une chaîne aléatoire + suffixe « -MEOW », puis rapport. Un script dédié peut vérifier les données avant/après. La simulation illustre l’impact pour chaque techno (indices Elasticsearch empoisonnés, documents MongoDB/CouchDB, clés/valeurs Redis, tables Cassandra, fichiers HDFS via WebHDFS).

• Une démonstration « entreprise santé » montre la corruption coordonnée de six bases via le mode CSV (🎯 attaque simultanée), décrivant les effets métiers: dossiers patients illisibles (MongoDB), recherche inutilisable (Elasticsearch), télémétrie IoT effacée (Cassandra), sessions invalidées (Redis), portail patient rompu (CouchDB), archives big data corrompues (HDFS). Le tout reflète les attaques Meow réelles où les contenus sont remplacés par du texte aléatoire « -MEOW ».

• Rétrospective Shodan (2020→2025): forte baisse des instances compromises. Elasticsearch: pic ~13 000 (2020/21) → 7 (09/2025). MongoDB: pic ~6 000 → 26 (09/2025). CouchDB: pic ~280 → 3 (08/2025). Les auteurs attribuent ce déclin aux activations de la sécurité par défaut (ex. Elasticsearch 8, exigences d’auth MongoDB récentes) et à la sensibilisation du secteur, tout en notant une persistance résiduelle du risque sur des systèmes hérités. Le billet conclut en mentionnant les produits Trustwave (dbProtect, AppDetectivePro) pour détecter mauvais paramétrages, identifiants par défaut, et niveaux de patch.

• IOCs et TTPs observés

  • IOCs: signature de corruption « -MEOW » dans les champs; « meow indices » sur Elasticsearch (indices existants mais contenus corrompus).
  • TTPs: Accès non authentifié ou via identifiants faibles; énumération des bases/collections/tables; écriture massive remplaçant champs (chaînes/nombres) par aléatoire + « -MEOW »; usage des API HTTP/REST (Elasticsearch, CouchDB, WebHDFS 9870) et des ports standards (MongoDB 27017, Elasticsearch 9200, Cassandra 9042, Redis 6379, CouchDB 5984); campagne automatisée en masse via CSV.

En synthèse, il s’agit d’une publication technique présentant un outil de simulation d’attaque et une analyse de tendance destinée à comprendre, tester et démontrer l’impact des corruptions « Meow » sur des bases exposées.

🔗 Source originale : https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/the-cats-out-of-the-bag-a-meow-attack-data-corruption-campaign-simulation-via-mad-cat/