Aggiornamenti recenti Settembre 21st, 2023 10:50 AM
Ott 12, 2021 Marco Schiaffino Attacchi, In evidenza, Intrusione, Malware, News, RSS 0
Se lo vogliamo considerare un segno dei tempi, ila notizia che la Cina venga citata come nazione bersaglio di un attacco informatico è abbastanza rilevante. Protagonista Huawei, che sarebbe finita al centro di una campagna di attacchi che puntano ai suoi sistemi cloud.
Il malware individuato dai ricercatori di Trend Micro, che lo descrivono nei dettagli in questo report pubblicato sul sito ufficiale della società di sicurezza, prende di mira i sistemi Linux e adotta una serie di strategie che consentono ai cyber criminali di sfruttare al massimo la capacità computazionale dei server compromessi per i loro scopi.
La catena di attacco descritta dagli autori del report è estremamente lineare e prevede, per prima cosa, la disattivazione di alcuni servizi presenti sulla piattaforma cloud di Huawei che hanno funzioni di cyber security. Nel dettaglio si tratta di host guard service, che ha come scopo quello di individuare eventuali problemi di sicurezza, e cloudResetPwdUpdateAgent, la cui funzione è quella di consentire agli utenti il reset delle istanze Elastic Cloud Service.
Una volta sgombrato il campo dai servizi “indesiderati”, il malware (cui curiosamente non è stato assegnato un nome) si preoccupa di fare fuori eventuali concorrenti che possono aver compromesso gli stessi server.
L’obiettivo, secondo i ricercatori, è quello di evitare di trovarsi a condividere le risorse di sistema con altri “cryptojacker”, ottimizzando così l’efficacia dei miner.
La procedura di pulizia procede poi con l’eliminazione di tutti gli account potenzialmente legati a concorrenti e, solo a questo puto, prevede la creazione di nuovi account utente (con i privilegi massimi di amministrazione) sotto il controllo dei pirati informatici.
Non solo: per garantire persistenza e offuscamento al malware, viene avviata una procedura per l’installazione di TOR (The Onion Router) che viene utilizzato come canale esclusivo per le comunicazioni verso l’esterno.
I payload sono rappresentati da due binary distinti, i cui noi sembrano essere stati scelti per fare in modo che passino inosservati agli occhi deghli amministratori meno smaliziati: il primo si chiama linux64_shell e ha il compito di gestire le comunicazioni con il server Command and Control.
Il secondo, chiamato invece xlinux, agisce come vulnerability scanner, consente di sfruttare le vulnerabilità presenti nella piattaforma e installare lo script malevolo.
In particolare, il componente avvia una ricerca per individuare password deboli di Mongo DB; servizi FTP; SQLServer; Oracle WebLogic Server e PostgreSQL Server.
Insomma: il malware crea una sorta di “hub” che apre la strada alla diffusione degli script di mining sfruttando vulnerabilità piuttosto comuni.
Una strategia che porta i ricercatori di Trend Micro ad affermare che, in definitiva, la migliore strategia di difesa contro questa tipologia di attacchi non è rappresentata tanto dai sistemi anti-malware, quanto da una rigorosa adesione alle best practice in termini di sicurezza. Come dargli torto?
Set 21, 2023 0
Set 20, 2023 0
Lug 19, 2023 0
Lug 07, 2023 0
Set 20, 2023 0
Set 19, 2023 0
Set 19, 2023 0
Set 18, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 21, 2023 0
Sale la tensione tra Pechino e Washington: la Cina ha...Set 20, 2023 0
Earth Lusca è ancora in attività: il gruppo...Set 20, 2023 0
I ricercatori di Wiz, compagnia di sicurezza per il...Set 19, 2023 0
HWG, azienda di servizi gestiti e consulenza cyber, e...Set 18, 2023 0
I ricercatori di Akamai hanno individuato tre...