Una versione aggiornata del malware botnet chiamato KmsdBot sta ora prendendo di mira i dispositivi Internet of Things (IoT), ampliando contemporaneamente le sue capacità e la superficie di attacco.
KmsdBot e le sue nuove capacità
Il malware ha ora incluso il supporto per la scansione Telnet e per un maggior numero di architetture CPU, come ha dichiarato Larry W. Cashdollar, ricercatore di sicurezza presso Akamai, in un’analisi pubblicata questo mese. Questa ultima versione, osservata a partire dal 16 luglio 2023, arriva alcuni mesi dopo che è emerso che il botnet viene offerto come servizio DDoS-for-hire ad altri attori minacciosi. Il fatto che venga mantenuto attivamente indica la sua efficacia negli attacchi reali.
Storia e obiettivi di KmsdBot
KmsdBot è stato documentato per la prima volta dalla società di infrastruttura e sicurezza web nel novembre 2022. È principalmente progettato per prendere di mira server di gioco privati e fornitori di hosting cloud, anche se in seguito ha rivolto la sua attenzione ad alcuni siti governativi rumeni e siti educativi spagnoli.
Modalità di attacco
Il malware è progettato per scansionare indirizzi IP casuali alla ricerca di porte SSH aperte e forzare brutalmente il sistema con una lista di password scaricata da un server controllato dall’attore. I nuovi aggiornamenti incorporano la scansione Telnet e permettono di coprire più architetture CPU comunemente trovate nei dispositivi IoT. “Come lo scanner SSH, lo scanner Telnet chiama una funzione che genera un indirizzo IP casuale”, ha spiegato Cashdollar. “Poi, tenta di connettersi alla porta 23 su quell’indirizzo IP. Lo scanner Telnet non si ferma semplicemente a decidere se la porta 23 è in ascolto o meno; verifica che il buffer di ricezione contenga dati.” L’attacco contro Telnet viene effettuato scaricando un file di testo (telnet.txt) che contiene una lista di password deboli comunemente utilizzate e le loro combinazioni per una vasta gamma di applicazioni, sfruttando principalmente il fatto che molti dispositivi IoT hanno le loro credenziali predefinite invariate.
Implicazioni per la sicurezza
Le attività in corso della campagna malware KmsdBot indicano che i dispositivi IoT rimangono diffusi e vulnerabili su internet, rendendoli obiettivi attraenti per la costruzione di una rete di sistemi infetti. Dal punto di vista tecnico, l’aggiunta delle capacità di scansione telnet suggerisce un’espansione nella superficie di attacco del botnet, permettendogli di prendere di mira una gamma più ampia di dispositivi. Inoltre, con l’evoluzione del malware e l’aggiunta del supporto per più architetture CPU, rappresenta una minaccia continua per la sicurezza dei dispositivi connessi a internet.
Cosa è Akamai?
Akamai è una società leader nel settore della sicurezza e dell’infrastruttura web, che si occupa di monitorare e analizzare le minacce emergenti nel panorama digitale, fornendo soluzioni e analisi approfondite per proteggere le aziende e gli utenti finali.