Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Ago 16, 2017 Giancarlo Calzetta Attacchi, Hacking, Intrusione, News, RSS 0
Kaspersky Lab ha identificato Shadowpad, una backdoor nascosta in alcuni software della società Netsarang tramite la compromissione del loro sistema di aggiornamento.
Ha fatto molto scalpore, qualche tempo fa, il modo in cui NotPetya è stato distribuito a una serie di aziende, ma quella di sfruttare gli aggiornamenti per infettare software leciti è una tecnica usata da molti anni dai criminali informatici e Kaspersky ha appena scovato una nuova campagna che prendeva di mira aziende di medie e grandi dimensioni.
La campagna d’attacco Shadowpad consisteva nell’infiltrare, tramite un aggiornamento “lecito”, una backdoor nei programmi Xmanager, Xshell, Xftp e Xlpd prodotti dalla società Netsarang.
Questi software di amministrazione sono attualmente usati in molte aziende attive nei settori della finanza, dell’istruzione, delle telecomunicazioni, della produzione industriale, dell’energia e dei trasporti.
L’aggiornamento incriminato, nei quali i malintenzionati sono stati in grado di inoculare il modulo malevolo, è del 18 luglio e al momento sembra che il software sia stato attivato solo in un’azienda di Hong Kong, mentre le altre installazioni sono rimaste “dormienti”.
Il modulo base di Shadowpad, infatti, si limita a inviare a intervalli di otto ore una serie di informazioni di base sui sistemi colpiti (dominio, dati sull’hardware e sulla rete) a un server di comando e controllo. I criminali deciderebbero poi, in base a quanto raccolto, quali sono i target potenzialmente interessanti, attivando su di questi il download di altri moduli che permettono di prendere il controllo totale del sistema infetto.
La scoperta del malware è avvenuta grazie a un software di analisi del traffico di rete interno che ha sollevato un alert relativo alle richieste DNS che il modulo malevolo inviava ciclicamente all’esterno.
I sistemisti del sistema colpito si sono insospettiti e hanno chiesto supporto a Kaspersky Lab che, dopo aver chiesto lumi al produttore sugli strani contatti all’esterno, ha attivato il suo team di analisi (Great) e scoperto “l’intruso”.
Quando abbiamo visto in questa campagna risolleva l’importanza di avere una struttura di sicurezza a più livelli che possa far fronte a casi in cui la compromissione arrivi da fonti insospettabili. La celerità con cui la campagna Shadowpad è stata scoperta ha giocato un ruolo essenziale nel limitare i danni causati.
Chi avesse uno o più dei software di Netsarang installati in azienda dovrebbe aggiornare appena possibile e verificare che il primo modulo non abbia già attivato ulteriori malware.
Sul blog Securelist si trova un approfondimento sul malware dal quale risulta che l’ipotesi attualmente più probabile sull’origine di Shadowpad è quella che sia stato prodotto da uno dei gruppi cinesi specializzati in cyberspionaggio.
Alcune similitudini nel codice del modulo, infatti, richiamano qualcosa di già visto in altri malware creati dai gruppi PlugX e Winnti, ma il ricercatore specifica che le congruenze sono comunque piuttosto limitate e non danno certezze sull’attribuzione.
Lug 22, 2024 0
Lug 18, 2024 0
Lug 01, 2024 0
Giu 26, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...