Notizie
Gli hacker utilizzano i servizi cloud per distribuire malware Nanocore, Netwire e AsyncRAT
Le nuove minacce informatiche utilizzano i servizi cloud pubblici di Amazon e Microsoft per fornire trojan di accesso remoto (RAT) come Nanocore , Netwire e AsyncRAT per sottrarre informazioni sensibili da sistemi compromessi.
Gli attacchi di spear-phishing, iniziati nell’ottobre 2021, hanno preso di mira principalmente entità situate negli Stati Uniti, in Canada, in Italia e a Singapore, hanno affermato i ricercatori di Cisco Talos in un rapporto condiviso con The Hacker News.
L’utilizzo dell’infrastruttura esistente per facilitare le intrusioni sta diventando sempre più parte del programma di un utente malintenzionato in quanto ovvia alla necessità di ospitare i propri server, per non parlare del suo utilizzo come meccanismo di cloaking per eludere il rilevamento da parte delle soluzioni di sicurezza.
Negli ultimi mesi, strumenti di collaborazione e comunicazione come Discord, Slack e Telegram hanno trovato molte attività di infezioni per requisire ed esfiltrare i dati dalle macchine delle vittime. Visto in tale ottica, l’abuso delle piattaforme cloud è un’estensione tattica che gli aggressori potrebbero sfruttare come primo passo in una vasta gamma di reti.
“Ci sono diversi aspetti interessanti in questa particolare campagna e indica alcune delle cose che vediamo comunemente usate e maltrattate da attori malintenzionati“, ha detto a The Hacker News via e-mail Nick Biasini, capo del supporto di Cisco Talos.
“Dall’uso dell’infrastruttura cloud per ospitare malware all’abuso del DNS dinamico per le attività di comando e controllo (C2). Inoltre, i livelli di offuscamento indicano lo stato attuale delle attività informatiche criminali, dove sono necessarie molte analisi per scendi al carico utile finale e alle intenzioni dell’attacco“.
Come per molti di questi tipi di campagne, tutto inizia con un’e-mail di phishing a tema fattura contenente un file ZIP allegato che, una volta aperto, attiva una sequenza di attacco che scarica i payload della fase successiva ospitati su un server Windows basato su Azure Cloud o un Istanza AWS EC2, che culminerà infine nella distribuzione di diversi RAT, tra cui AsyncRAT, Nanocore e Netwire.
Degno di nota è anche l’uso di DuckDNS, un servizio DNS dinamico gratuito, per creare sottodomini dannosi per fornire malware, con alcuni dei sottodomini dannosi controllati dall’attore che si risolvono nel server di download su Azure Cloud mentre altri server funzionano come C2 per i payload RAT .
“Gli attori dannosi sono opportunisti e cercheranno sempre modi nuovi e fantasiosi per ospitare malware e infettare le vittime“, ha affermato Biasini. “L’abuso di piattaforme come Slack e Discord, nonché il relativo abuso del cloud, fanno parte di questo schema. Troviamo anche comunemente siti Web compromessi utilizzati per ospitare malware e altre infrastrutture e sottolinea ancora una volta il fatto che questi avversari utilizzeranno qualsiasi mezzo per compromettere le vittime“.
Il numero di infezioni da malware che prendono di mira i dispositivi Linux è aumentato del 35% nel 2021, solitamente a danno di dispositivi IoT con attacchi DDoS (Distributed Denial of Service).
Gli IoT, come dispositivi smart, eseguono in genere varie distribuzioni Linux e sono limitati a funzionalità specifiche. Tuttavia, quando le loro risorse vengono combinate in grandi gruppi, possono fornire massicci attacchi DDoS anche a infrastrutture ben protette.
Oltre a DDoS, i dispositivi IoT Linux vengono reclutati anche per altre attività come minare criptovaluta, facilitare campagne di posta spam, fungere da relè, agire come server di comando e controllo o persino fungere da punti di ingresso nelle reti aziendali. Insomma un piccolo esercito al servizio di chi ha le competenze e capacità di attivarli.
Un rapporto di Crowdstrike esamina i dati sugli attacchi del 2021, li possiamo riassumere così:
- Nel 2021, rispetto al 2020, si è registrato un aumento del 35% del malware rivolto ai sistemi Linux;
- XorDDoS, Mirai e Mozi sono state le tipologie di attacco più diffuse, rappresentando il 22% di tutti gli attacchi malware mirati a Linux;
- Mozi, in particolare, ha avuto una crescita esplosiva della sua attività, con dieci volte più attacchi nel 2021 rispetto al 2020;
- XorDDoS ha avuto un notevole aumento anno su anno del 123%.
Panoramica dei malware utilizzati
XorDDoS è un trojan Linux versatile che funziona in più architetture di sistema Linux, da ARM (IoT) a x64 (server). Utilizza la crittografia XOR per le comunicazioni C2, da cui il nome. Quando attacca i dispositivi IoT, XorDDoS forza i dispositivi vulnerabili tramite SSH. Sulle macchine Linux, utilizza la porta 2375 per ottenere l’accesso root all’host senza password.
Un caso degno di nota della distribuzione del malware è stato individuato nel 2021, l’autore in quel caso era Winnti ed ha distribuito oltre al malware anche altri botnet.
Vale la pena ricordare il nostro approfondimento specifico sui botnet:
Mozi è una botnet P2P che si basa sul sistema di ricerca DHT (Distributed Hash Table) per nascondere le comunicazioni C2 sospette alle soluzioni di monitoraggio del traffico di rete. Questo botnet è in circolazione da un po’, sfrutta continuamente nuove vulnerabilità ed espande sempre di più i suoi target.
Mirai è un famigerato botnet che ha generato numerosi casi critici grazie al suo codice sorgente pubblicamente disponibile e continua ad affliggere soprattutto il mondo IoT.
I vari derivati implementano diversi protocolli di comunicazione C2, ma in genere sfruttano le credenziali deboli per attacchi di forza bruta sui vari dispositivi. Nel 2021 sono state avvistate diverse varianti di Mirai come Dark Mirai, che si concentra sui router domestici e Moobot, che prende di mira le telecamere.
Mihai Maganu, ricercatore di Crowdstrike, nel report specifico afferma: “Alcune delle varianti più diffuse monitorate dai ricercatori di Crowdstrike coinvolgono Sora, IZIH9 e Rekai…Rispetto al 2020, il numero di campioni identificati per tutte e tre le varianti è aumentato rispettivamente del 33%, 39% e 83% nel 2021”.
La tendenza continuerà nel 2022
I risultati di Crowdstrike non sono sorprendenti in quanto confermano una tendenza già emersa negli anni scorsi. Ad esempio un rapporto Intezer, che analizza le statistiche del 2020, ha rilevato che le famiglie di malware Linux sono aumentate del 40% nel 2020 rispetto all’anno precedente.
Nei primi sei mesi del 2020 è stato registrato un forte aumento del 500% del malware Golang, a dimostrazione del fatto che gli autori di malware stavano cercando modi per far funzionare il loro codice su più piattaforme.
Purtroppo l’utilizzo di Golang è già stato confermato in alcuni casi di inizio 2022 ed è probabile che questa tendenza continui.
Continueremo il monitoraggio sui malware Linux anche durante il 2022 per capire le novità e tendenze per i mesi futuri.
Nella prima metà di settembre 2021, una dozzina di temi e plug-in WordPress ospitati sul sito Web di uno sviluppatore, sono stati sottoposti a backdoor con codice dannoso al fine di infettare altri siti. La backdoor ha fornito agli aggressori il pieno controllo amministrativo sui siti Web che utilizzavano 40 temi e 53 plug-in appartenenti ad AccessPress Themes, una società con sede in Nepal che vanta non meno di 360.000 installazioni di siti Web attive.
“Le estensioni infette contenevano un dropper per una shell web che offre agli aggressori il pieno accesso ai siti infetti“,
hanno affermato in un rapporto pubblicato questa settimana i ricercatori di sicurezza di JetPack, sviluppatore di plugin per WordPress. “Le stesse estensioni andavano bene se scaricate o installate direttamente dalla directory di WordPress[.]org.” Alla vulnerabilità è stato assegnato l’identificatore CVE-2021-24867. La piattaforma di sicurezza dei siti Web Sucuri, in un’analisi separata, ha affermato che alcuni dei siti Web infetti trovati utilizzando questa backdoor avevano payload di spam risalenti a quasi tre anni fa, il che implica che gli attori dietro l’operazione stavano vendendo l’accesso ai siti agli operatori di altre campagne di spam. All’inizio di questo mese, la società di sicurezza informatica eSentire ha rivelato come i siti Web WordPress compromessi appartenenti ad aziende legittime vengano utilizzati come focolaio per la distribuzione di malware, servendo utenti ignari alla ricerca di accordi postmatrimoniali o di proprietà intellettuale su motori di ricerca come Google con un malware chiamato GootLoader.
E’ stato consigliato, quindi, ai proprietari di siti che hanno installato i plug-in direttamente dal sito Web di AccessPress Themes di aggiornare immediatamente a una versione sicura o di sostituirla con l’ultima versione di WordPress[.]org.
Inoltre, è necessario che venga implementata una versione pulita di WordPress per ripristinare le modifiche apportate durante l’installazione della backdoor. I risultati arrivano anche quando la società di sicurezza di WordPress Wordfence ha divulgato i dettagli di una vulnerabilità di cross-site scripting (XSS) ora patchata che ha un impatto su un plug-in chiamato “WordPress Email Template Designer – WP HTML Mail” installato su oltre 20.000 siti Web.
Secondo le statistiche pubblicate da Risk Based Security questo mese, sono stati scoperti e segnalati ben 2.240 difetti di sicurezza nei plugin di WordPress di terze parti verso la fine del 2021, con un aumento del 142% rispetto al 2020, quando sono state rivelate quasi 1.000 vulnerabilità. Ad oggi, sono state scoperte un totale di 10.359 vulnerabilità dei plugin di WordPress.
L’ultima analisi sul malware che ha preso di mira dozzine di agenzie ucraine all’inizio di questo mese ha rivelato “somiglianze strategiche” con il malware NotPetya che è stato scatenato contro l’infrastruttura del paese e altrove nel 2017.
L’attuale attacco, soprannominato WhisperGate, è stato scoperto da Microsoft la scorsa settimana, che ha affermato di aver analizzato la campagna informatica che ha preso di mira enti governativi, senza scopo di lucro e informatici nella nazione”.
“Sebbene WhisperGate abbia alcune somiglianze strategiche con il famigerato NotPetya che ha attaccato le entità ucraine nel 2017, tra cui mascherarsi da ransomware e prendere di mira e distruggere il master boot record (MBR) invece di crittografarlo, in particolare ha più componenti progettati per infliggere danni aggiuntivi” Cisco Talos ha dichiarato in un rapporto che descrive in dettaglio i suoi sforzi di risposta.
Affermando che le credenziali rubate sono state probabilmente utilizzate nell’attacco, la società di sicurezza informatica ha anche sottolineato che l’attore della minaccia aveva accesso ad alcune delle reti delle vittime con mesi di anticipo prima che si verificassero le azioni distruttive: un classico segno di sofisticati attacchi APT.
Non Petya e WhisperGate
La catena di infezione di WhisperGate è modellata come un processo a più fasi che scarica un payload che cancella il record di avvio principale (MBR), quindi scarica un file DLL dannoso ospitato su un server Discord, che rilascia ed esegue un altro payload del wiper che distrugge irrevocabilmente i file tramite sovrascrivendo il loro contenuto con dati fissi sugli host infetti.
I risultati arrivano una settimana dopo che circa 80 siti web di agenzie governative ucraine sono stati deturpati, con le agenzie di intelligence ucraine che hanno confermato che gli incidenti gemelli fanno parte di un’ondata di attività dannose mirate alla sua infrastruttura critica, osservando anche che gli attacchi hanno sfruttato il Log4j recentemente divulgato vulnerabilità per accedere ad alcuni dei sistemi compromessi.
I Malware Linux crescono del 35% nel 2021
Non solo Log4J: WordPress sotto costante attacco. Attenti ai Plugin malevoli
Che cos’è la rete 1 INCH (1 INCH)? E’ davvero la più veloce e la più redditizia?
Bomba logica, conoscere una minaccia imprevista
Dietro gli attacchi informatici in Ucraina si nasconde l’APT Sandworm?
Che cos’è Compound (COMP)?
Guerra cibernetica in Nord Corea. Lazarus: l’apt che ha devastato banche, Tv, siti governativi e Sony
Asl Napoli 3 Sud nel panico.
FTX (FTT)? Un token di derivati crittografici
Prometeo porta l’hacking a domicilio con il software del Governo americano
VPNLAB.net chiusa dall’Europol: utilizzata per crimini informatici
Hedera Hashgraph (HBAR): un sistema alternativo alla solita Blockchain
FIN8 risorge dalla tana del “white rabbit” con un nuovo ransomware
Il gioco porno che rende i pc zombie e pronti a sferrare attacchi DDOS
Axie Infinity: un gioco di scambio e combattimento basato su blockchain
2200 Greenpass su Telegram, dati dei vaccinati a rischio. Link per scaricarli
Sesso online, sito di webcam esposto: tremano mariti e mogli infedeli
Mangia sushi e muore. Su Trip Advisor i racconti dei clienti del ristorante dell’orrore
Arrestata la Ransomware gang Revil. Venduta dalla Russia ad Usa ed Europa
Asl Napoli 3 Sud sotto un “sinistro” attacco informatico: sospesi i servizi sul Green Pass
Greenpass “falso originale”: nuovo rischio per il certificato verde
Ransomware: cos’è e come funziona la doppia estorsione?
Scarica 2200 Greenpass Italiani
Dal dark web a 4chan: il Green Pass si è bucato da solo?
Facebook, Instagram e Whatsapp down: cosa succede?
Dazn perde la sfida contro il “Pezzotto”, vittoria dell’Antistato nell’IT
Greenpass italiani falsi: l’analisi degli esperti sui 2200 certificati verdi esposti
QRishing: cos’è e come la truffa si nasconde dietro un QR Code
Attenzione ai dirottatori di browser, gli hijacker web
Attacchi zero-day, scoprirli è già troppo tardi. Anche per gli antivirus
-
Notizie2 settimane faArrestata la Ransomware gang Revil. Venduta dalla Russia ad Usa ed Europa
- Notizie2 settimane fa
Asl Napoli 3 Sud sotto un “sinistro” attacco informatico: sospesi i servizi sul Green Pass
- DeFi2 settimane fa
Come sarà il 2022 per le criptovalute? 5 possibili scenari.
- DeFi3 settimane fa
Ethereum colabrodo? Ricercatori scoprono 47 vulnerabilità sulla blockchain
- Inchieste2 settimane fa
FIN7: una “società” da 1,5 miliardi di fatturato specializzata in attacchi APT
- Editoriali2 settimane fa
Caro Riccardo Luna, non è una occasione persa, ma incapacità. Oppure volontà e quindi malafede?
- Inchieste2 settimane fa
Asl Napoli 3 vittima dei 54bb47h. Coinvolti nell’attacco Hyper-V di Windows e Paloaltonetworks
- Tech2 settimane fa
Cos’è lo smishing e come proteggersi
