Aggiornamenti recenti Agosto 9th, 2022 1:45 PM
Ott 12, 2021 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, News, RSS 0
Se lo vogliamo considerare un segno dei tempi, ila notizia che la Cina venga citata come nazione bersaglio di un attacco informatico è abbastanza rilevante. Protagonista Huawei, che sarebbe finita al centro di una campagna di attacchi che puntano ai suoi sistemi cloud.
Il malware individuato dai ricercatori di Trend Micro, che lo descrivono nei dettagli in questo report pubblicato sul sito ufficiale della società di sicurezza, prende di mira i sistemi Linux e adotta una serie di strategie che consentono ai cyber criminali di sfruttare al massimo la capacità computazionale dei server compromessi per i loro scopi.
La catena di attacco descritta dagli autori del report è estremamente lineare e prevede, per prima cosa, la disattivazione di alcuni servizi presenti sulla piattaforma cloud di Huawei che hanno funzioni di cyber security. Nel dettaglio si tratta di host guard service, che ha come scopo quello di individuare eventuali problemi di sicurezza, e cloudResetPwdUpdateAgent, la cui funzione è quella di consentire agli utenti il reset delle istanze Elastic Cloud Service.
Una volta sgombrato il campo dai servizi “indesiderati”, il malware (cui curiosamente non è stato assegnato un nome) si preoccupa di fare fuori eventuali concorrenti che possono aver compromesso gli stessi server.
L’obiettivo, secondo i ricercatori, è quello di evitare di trovarsi a condividere le risorse di sistema con altri “cryptojacker”, ottimizzando così l’efficacia dei miner.
La procedura di pulizia procede poi con l’eliminazione di tutti gli account potenzialmente legati a concorrenti e, solo a questo puto, prevede la creazione di nuovi account utente (con i privilegi massimi di amministrazione) sotto il controllo dei pirati informatici.
Non solo: per garantire persistenza e offuscamento al malware, viene avviata una procedura per l’installazione di TOR (The Onion Router) che viene utilizzato come canale esclusivo per le comunicazioni verso l’esterno.
I payload sono rappresentati da due binary distinti, i cui noi sembrano essere stati scelti per fare in modo che passino inosservati agli occhi deghli amministratori meno smaliziati: il primo si chiama linux64_shell e ha il compito di gestire le comunicazioni con il server Command and Control.
Il secondo, chiamato invece xlinux, agisce come vulnerability scanner, consente di sfruttare le vulnerabilità presenti nella piattaforma e installare lo script malevolo.
In particolare, il componente avvia una ricerca per individuare password deboli di Mongo DB; servizi FTP; SQLServer; Oracle WebLogic Server e PostgreSQL Server.
Insomma: il malware crea una sorta di “hub” che apre la strada alla diffusione degli script di mining sfruttando vulnerabilità piuttosto comuni.
Una strategia che porta i ricercatori di Trend Micro ad affermare che, in definitiva, la migliore strategia di difesa contro questa tipologia di attacchi non è rappresentata tanto dai sistemi anti-malware, quanto da una rigorosa adesione alle best practice in termini di sicurezza. Come dargli torto?
Lug 25, 2022 0
Lug 20, 2022 0
Lug 14, 2022 0
Lug 04, 2022 0
Ago 09, 2022 0
Ago 09, 2022 0
Ago 08, 2022 0
Ago 08, 2022 0
Lug 21, 2022 0
Il Mitre lo conoscono tutti: come istituzione, come...Lug 19, 2022 0
Acronis è un’azienda che deve buona parte della sua fama...Mar 11, 2022 0
Il ransomware è un flagello che sta colpendo le aziende di...Mar 10, 2022 0
Il ransomware è una tipologia d’attacco di cui...Mar 09, 2022 0
Non c’è quasi utente di computer che non abbia sentito...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Ago 09, 2022 0
Una nuova campagna di phishing utilizza finte e-mail di...Ago 09, 2022 0
Check Point research ha individuato in PyPI, il repository...Ago 08, 2022 0
Un attacco al provider di servizi gestiti Advanced sta...Ago 08, 2022 0
Un’azione legale collettiva accusa la multinazionale...Ago 05, 2022 0
Una serie di vulnerabilità nei router Cisco Small Business...Una nuova campagna di phishing utilizza finte e-mail di Coinbase... Continua →