Source: FortiGuard Labs (blog Fortinet). Lors d’une perturbation mondiale d’AWS fin octobre, les capteurs Fortinet ont observé la propagation de « ShadowV2 », une variante de Mirai ciblant des appareils IoT via plusieurs vulnérabilités, avec une activité probablement testée en vue d’attaques ultérieures. Le botnet avait déjà été signalé en septembre pour des campagnes visant des instances AWS EC2.

Portée et impact : niveau de sévérité élevé avec possibilité pour un attaquant distant de prendre le contrôle des systèmes vulnérables. Sont listées comme plateformes affectées notamment : DD‑WRT 24 sp1, plusieurs D‑Link ShareCenter/GO‑RT‑AC750 (DNS‑320/320LW/325/340L), Digiever DS‑2105 Pro 3.1.0.71-11, TBK DVR‑4104/4216, et la série TP‑Link Archer. Les tentatives d’exploitation ont touché des organisations de sept secteurs (technologie, retail/hôtellerie, manufacturing, MSSP, gouvernement, télécoms/opérateurs, éducation) et de nombreux pays sur tous les continents 🌍. Utilisateurs impactés: toute organisation.

Technique malware: l’attaquant déploie un script téléchargeur binary.sh depuis 81.88.18.108 après exploitation des failles, puis installe l’exécutable « shadow.* ». ShadowV2 reprend l’architecture Mirai (proche de la variante LZRD), obfusque sa configuration par XOR (clé 0x22), et se connecte à un C2 résolu via le domaine silverpath.shadowstresser.info (IP attendue 81.88.18.108), avec repli sur IP codée en dur si la résolution via 8.8.8.8 échoue. Lors de l’exécution, la bannière indique ShadowV2 Build v1.0.0 IoT version.

Capacités d’attaque: initialisation d’une table de fonctions de DDoS couvrant les protocoles UDP et TCP ainsi que HTTP. Méthodes implémentées: UDP (Plain/Generic/Custom), TCP (SYN/Generic/ACK/ACK STOMP) et HTTP floods. Le C2 envoie des commandes avec ID de méthode et paramètres pour déclencher les attaques.

Détections/Protections Fortinet: le malware est détecté par FortiGuard AntiVirus comme Bash/Mirai.CIU!tr.dldr, Linux/Mirai.A!tr, ELF/Mirai.* (AE/AX, UNSTABLE.AT). Le Web Filtering bloque le C2, et le service IP Reputation & Anti‑Botnet bloque de manière proactive les sources malveillantes. FortiGuard IPS couvre les vulnérabilités exploitées: CVE‑2009‑2765 (DD‑WRT), CVE‑2020‑25506, CVE‑2022‑37055, CVE‑2024‑10914, CVE‑2024‑10915 (D‑Link), CVE‑2023‑52163 (DigiEver), CVE‑2024‑3721 (TBK), CVE‑2024‑53375 (TP‑Link). L’article fournit des IOCs complets et renvoie vers l’équipe de réponse à incident FortiGuard. Il s’agit d’une analyse de menace détaillant la campagne, les vecteurs d’exploitation et les artefacts associés.

IOCs

  • Hosts/Domains/IPs:
    • silverpath.shadowstresser.info
    • 81.88.18.108 (C2)
    • 198.199.72.27 (source des exploits)
  • Fichiers (SHA‑256):
    • Downloader: 7dfbf8cea45380cf936ffdac18c15ad91996d61add606684b0c30625c471ce6a
    • ShadowV2 samples: 0408d57c5ded5c79bf1c5b15dfde95547e17b81214dfc84538edcdbef4e61ffe; dfaf34b7879d1a6edd46d33e9b3ef07d51121026b8d883fdf8aced630eda2f83; 6f1a5f394c57724a0f1ea517ae0f87f4724898154686e7bf64c6738f0c0fb7b6; 5b5daeaa4a7e89f4a0422083968d44fdfe80e9a32f25a90bf023bca5b88d1e30; c0ac4e89e48e854b5ddbaef6b524e94cc86a76be0a7a8538bd3f8ea090d17fc2; 499a9490102cc55e94f6a9c304eea86bbe968cff36b9ac4a8b7ff866b224739f; bb326e55eb712b6856ee7741357292789d1800d3c5a6be4f80e0cb1320f4df74; 24ad77ed7fa9079c21357639b04a526ccc4767d2beddbd03074f3b2ef5db1b69; 80ee2bf90545c0d539a45aa4817d0342ff6e79833e788094793b95f2221a3834; cb42ae74216d81e87ae0fd51faf939b43655fe0be6740ac72414aeb4cf1fecf2; 22aa3c64c700f44b46f4b70ef79879d449cc42da9d1fe7bad66b3259b8b30518; c62f8130ef0b47172bc5ec3634b9d5d18dbb93f5b7e82265052b30d7e573eef3

TTPs

  • Exploitation de vulnérabilités IoT multiples (command injection/buffer overflow) pour initialiser l’infection
  • Déploiement d’un script téléchargeur (binary.sh) depuis une infrastructure malveillante
  • Obfuscation de configuration par XOR (clé 0x22)
  • Communication C2 via domaine avec repli IP codé en dur
  • Exécution d’attaques DDoS multi-protocoles (UDP/TCP/HTTP) sur commande du C2

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de vulnérabilités IoT multiples (command injection/buffer overflow) pour initialiser l’infection’, ‘Déploiement d’un script téléchargeur (binary.sh) depuis une infrastructure malveillante’, ‘Obfuscation de configuration par XOR (clé 0x22)’, ‘Communication C2 via domaine avec repli IP codé en dur’, ‘Exécution d’attaques DDoS multi-protocoles (UDP/TCP/HTTP) sur commande du C2’]

IOC

{‘domains’: [‘silverpath.shadowstresser.info’], ‘ips’: [‘81.88.18.108’, ‘198.199.72.27’], ‘hashes’: [‘7dfbf8cea45380cf936ffdac18c15ad91996d61add606684b0c30625c471ce6a’, ‘0408d57c5ded5c79bf1c5b15dfde95547e17b81214dfc84538edcdbef4e61ffe’, ‘dfaf34b7879d1a6edd46d33e9b3ef07d51121026b8d883fdf8aced630eda2f83’, ‘6f1a5f394c57724a0f1ea517ae0f87f4724898154686e7bf64c6738f0c0fb7b6’, ‘5b5daeaa4a7e89f4a0422083968d44fdfe80e9a32f25a90bf023bca5b88d1e30’, ‘c0ac4e89e48e854b5ddbaef6b524e94cc86a76be0a7a8538bd3f8ea090d17fc2’, ‘499a9490102cc55e94f6a9c304eea86bbe968cff36b9ac4a8b7ff866b224739f’, ‘bb326e55eb712b6856ee7741357292789d1800d3c5a6be4f80e0cb1320f4df74’, ‘24ad77ed7fa9079c21357639b04a526ccc4767d2beddbd03074f3b2ef5db1b69’, ‘80ee2bf90545c0d539a45aa4817d0342ff6e79833e788094793b95f2221a3834’, ‘cb42ae74216d81e87ae0fd51faf939b43655fe0be6740ac72414aeb4cf1fecf2’, ‘22aa3c64c700f44b46f4b70ef79879d449cc42da9d1fe7bad66b3259b8b30518’, ‘c62f8130ef0b47172bc5ec3634b9d5d18dbb93f5b7e82265052b30d7e573eef3’]}

🔗 Source originale : https://www.fortinet.com/blog/threat-research/shadowv2-casts-a-shadow-over-iot-devices