Aggiornamenti recenti Maggio 3rd, 2024 2:00 PM
Ago 16, 2017 Giancarlo Calzetta Attacchi, Hacking, Intrusione, News, RSS 0
Kaspersky Lab ha identificato Shadowpad, una backdoor nascosta in alcuni software della società Netsarang tramite la compromissione del loro sistema di aggiornamento.
Ha fatto molto scalpore, qualche tempo fa, il modo in cui NotPetya è stato distribuito a una serie di aziende, ma quella di sfruttare gli aggiornamenti per infettare software leciti è una tecnica usata da molti anni dai criminali informatici e Kaspersky ha appena scovato una nuova campagna che prendeva di mira aziende di medie e grandi dimensioni.
La campagna d’attacco Shadowpad consisteva nell’infiltrare, tramite un aggiornamento “lecito”, una backdoor nei programmi Xmanager, Xshell, Xftp e Xlpd prodotti dalla società Netsarang.
Questi software di amministrazione sono attualmente usati in molte aziende attive nei settori della finanza, dell’istruzione, delle telecomunicazioni, della produzione industriale, dell’energia e dei trasporti.
L’aggiornamento incriminato, nei quali i malintenzionati sono stati in grado di inoculare il modulo malevolo, è del 18 luglio e al momento sembra che il software sia stato attivato solo in un’azienda di Hong Kong, mentre le altre installazioni sono rimaste “dormienti”.
Il modulo base di Shadowpad, infatti, si limita a inviare a intervalli di otto ore una serie di informazioni di base sui sistemi colpiti (dominio, dati sull’hardware e sulla rete) a un server di comando e controllo. I criminali deciderebbero poi, in base a quanto raccolto, quali sono i target potenzialmente interessanti, attivando su di questi il download di altri moduli che permettono di prendere il controllo totale del sistema infetto.
La scoperta del malware è avvenuta grazie a un software di analisi del traffico di rete interno che ha sollevato un alert relativo alle richieste DNS che il modulo malevolo inviava ciclicamente all’esterno.
I sistemisti del sistema colpito si sono insospettiti e hanno chiesto supporto a Kaspersky Lab che, dopo aver chiesto lumi al produttore sugli strani contatti all’esterno, ha attivato il suo team di analisi (Great) e scoperto “l’intruso”.
Quando abbiamo visto in questa campagna risolleva l’importanza di avere una struttura di sicurezza a più livelli che possa far fronte a casi in cui la compromissione arrivi da fonti insospettabili. La celerità con cui la campagna Shadowpad è stata scoperta ha giocato un ruolo essenziale nel limitare i danni causati.
Chi avesse uno o più dei software di Netsarang installati in azienda dovrebbe aggiornare appena possibile e verificare che il primo modulo non abbia già attivato ulteriori malware.
Sul blog Securelist si trova un approfondimento sul malware dal quale risulta che l’ipotesi attualmente più probabile sull’origine di Shadowpad è quella che sia stato prodotto da uno dei gruppi cinesi specializzati in cyberspionaggio.
Alcune similitudini nel codice del modulo, infatti, richiamano qualcosa di già visto in altri malware creati dai gruppi PlugX e Winnti, ma il ricercatore specifica che le congruenze sono comunque piuttosto limitate e non danno certezze sull’attribuzione.
Apr 29, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Mag 03, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...