L’ultimo rapporto Gcore Radar e i suoi sviluppi hanno evidenziato un drammatico aumento degli attacchi DDoS in molteplici settori. All’inizio del 2023, la forza media degli attacchi ha raggiunto gli 800 Gbps, ma ora picchi anche superiori a 1,5+ Tbps non sorprendono più. Per cercare di sfondare le difese di Gcore, i perpetratori hanno effettuato due tentativi con due diverse strategie. Scopriamo cosa è successo e come il provider di sicurezza ha fermato gli attaccanti senza influenzare l’esperienza degli utenti finali.

Attacchi DDoS potenti

Nel novembre 2023, uno dei clienti di Gcore dell’industria dei giochi è stato preso di mira da due massicci attacchi DDoS, con picchi rispettivamente di 1,1 e 1,6 Tbps. Gli aggressori hanno impiegato varie tecniche in un tentativo infruttuoso di compromettere i meccanismi protettivi di Gcore.

Attacco #1: DDoS basato su UDP da 1,1 TBPS

Nel primo assalto informatico, gli aggressori hanno inviato una raffica di traffico UDP a un server target, con un picco di 1,1 Tbps. Sono stati impiegati due metodi:

• Utilizzando porte sorgente UDP casuali, speravano di eludere i meccanismi di filtraggio convenzionali.
• Gli aggressori hanno nascosto la loro vera identità falsificando gli indirizzi IP sorgente.

Attacco #2: DDoS basato su TCP da 1,6 TBPS

Questa volta, gli aggressori hanno tentato di sfruttare il protocollo TCP con un mix di traffico SYN flood, PSH e ACK. In un attacco SYN flood, diversi pacchetti SYN vengono inviati al server target senza pacchetti ACK. Ciò significa che il server genera una connessione semi-aperta per ogni pacchetto SYN. Se riuscito, il server alla fine esaurirà le risorse e smetterà di accettare connessioni.

Strategie difensive di Gcore

Le difese DDoS di Gcore hanno neutralizzato efficacemente entrambi gli attacchi preservando il servizio regolare per gli utenti finali del cliente. L’approccio generale per respingere le minacce di sicurezza DDoS include diverse tecniche, come le difese di prima linea di Gcore:

• Modellazione dinamica del traffico: tassi di traffico regolati dinamicamente per mitigare l’impatto dell’attacco garantendo la continuità dei servizi critici.
• Rilevamento delle anomalie e quarantena: modelli basati su machine learning analizzano il comportamento per identificare anomalie.
• Filtri basati su espressioni regolari: per bloccare i payload dannosi senza interrompere il traffico legittimo.
• Intelligence collaborativa sulle minacce: Gcore partecipa attivamente allo scambio di intelligence sulle minacce con i colleghi del settore.

Impatto e tendenze degli Attacchi DDoS

Gli attacchi DDoS con un volume di 1,5+ Tbps rappresentano un pericolo crescente in vari settori, con gli aggressori che utilizzano tecniche fantasiose per cercare di eludere i servizi di protezione. Nel corso del 2023, Gcore ha registrato aumenti sia nel volume medio che massimo degli attacchi, e questi due attacchi collegati dimostrano questa tendenza.

Decine di migliaia di server email Microsoft Exchange in Europa, Stati Uniti e Asia, esposti su internet pubblico, sono vulnerabili a difetti di esecuzione di codice remoto. Questi sistemi di posta elettronica eseguono una versione del software attualmente non supportata e non ricevono più alcun tipo di aggiornamenti, rendendoli vulnerabili a molteplici problemi di sicurezza, alcuni con una valutazione di gravità critica.

Server Exchange 2007 ancora in funzione

Scansioni Internet di The ShadowServer Foundation mostrano che ci sono circa 20.000 server Microsoft Exchange attualmente raggiungibili su internet pubblico che hanno raggiunto la fase di fine vita (EoL). Venerdì, più della metà dei sistemi si trovava in Europa. In Nord America, c’erano 6.038 server Exchange, e in Asia 2.241 istanze. Tuttavia, le statistiche di ShadowServer potrebbero non mostrare l’intero quadro poiché il ricercatore di sicurezza di Macnica, Yutaka Sejiyama, ha scoperto poco più di 30.000 server Microsoft Exchange che hanno raggiunto la fine del supporto.

Rischio di esecuzione di Codice Remoto

Il ricercatore ha anche confrontato il tasso di aggiornamento e osservato che dal mese di aprile di quest’anno, il numero globale di server Exchange EoL è diminuito solo del 18% da 43.656, una diminuzione che Sejiyama ritiene insufficiente. The ShadowServer Foundation evidenzia che le macchine Exchange obsolete scoperte su internet pubblico erano vulnerabili a molteplici difetti di esecuzione di codice remoto.

Vulnerabilità note

Alcune delle macchine che eseguono versioni più vecchie del server di posta Exchange sono vulnerabili a ProxyLogon, un problema di sicurezza critico tracciato come CVE-2021-26855, che può essere concatenato con un bug meno grave identificato come CVE-2021-27065 per ottenere l’esecuzione di codice remoto. Secondo Sejiyama, basandosi sui numeri di build ottenuti dai sistemi durante la scansione, ci sono circa 1.800 sistemi Exchange vulnerabili a ProxyLogon, ProxyShell o vulnerabilità ProxyToken.

Vulnerabilità rilevate da ShadowServer

ShadowServer nota che le macchine nelle loro scansioni sono vulnerabili ai seguenti difetti di sicurezza:

• CVE-2020-0688
• CVE-2021-26855 – ProxyLogon
• CVE-2021-27065 – parte della catena di exploit ProxyLogon
• CVE-2022-41082 – parte della catena di exploit ProxyNotShell
• CVE-2023-21529
• CVE-2023-36745
• CVE-2023-36439

Sebbene la maggior parte delle vulnerabilità sopra menzionate non abbia un punteggio di gravità critico, Microsoft le ha contrassegnate come “importanti”. Inoltre, eccetto per la catena ProxyLogon – che è stata sfruttata in attacchi, tutte sono state etichettate come “più probabili” da sfruttare.

Raccomandazioni per le aziende

Anche se le aziende che eseguono ancora server Exchange obsoleti hanno implementato mitigazioni disponibili, la misura non è sufficiente poiché Microsoft raccomanda di dare priorità all’installazione degli aggiornamenti sui server che sono rivolti all’esterno e che sono ancora vulnerabili. Nel caso di istanze che hanno raggiunto la fine del supporto, l’unica opzione rimanente è aggiornare a una versione che riceve ancora almeno aggiornamenti di sicurezza.

Un nuovo malware Android chiamato FjordPhantom è stato scoperto mentre utilizza la virtualizzazione per eseguire codice malevolo in un contenitore e sfuggire al rilevamento. Il malware, scoperto da Promon, si diffonde attualmente tramite email, SMS e app di messaggistica, prendendo di mira app bancarie in Indonesia, Thailandia, Vietnam, Singapore e Malesia.

Modalità di attacco e obiettivi

Le vittime vengono ingannate nel scaricare quelle che sembrano essere app bancarie legittime, ma contengono codice malevolo che opera in un ambiente virtuale per attaccare la vera app bancaria. FjordPhantom mira a rubare le credenziali degli account bancari online e manipolare le transazioni eseguendo frodi direttamente sul dispositivo. Un caso evidenziato nel rapporto di Promon mostra FjordPhantom che ruba $280.000 da una singola vittima, combinando la natura evasiva del malware con l’ingegneria sociale, come chiamate presumibilmente dagli agenti del servizio clienti delle banche.

Virtualizzazione come evasione su Android

Su Android, più app possono essere eseguite in ambienti isolati noti come “contenitori” per motivi legittimi, come l’esecuzione di più istanze della stessa app utilizzando account diversi. FjordPhantom incorpora una soluzione di virtualizzazione da progetti open-source per creare un contenitore virtuale sul dispositivo senza che l’utente lo sappia. Al lancio, il malware installa l’APK dell’app bancaria che l’utente intendeva scaricare ed esegue codice malevolo all’interno dello stesso contenitore, rendendolo parte del processo fidato.

Iniezione di Codice e manipolazione delle Transazioni

Con l’app bancaria in esecuzione all’interno del suo contenitore virtuale, FjordPhantom può iniettare il suo codice per agganciare API chiave che gli permettono di catturare credenziali, manipolare transazioni, intercettare informazioni sensibili, ecc. In alcune app, il framework di agganciamento del malware manipola anche elementi dell’interfaccia utente per chiudere automaticamente i dialoghi di avviso e mantenere la vittima all’oscuro del compromesso.

Rompere ‘Sandbox di Android’ e rischio di espansione

Promon osserva che questo trucco di virtualizzazione rompe il concetto di sicurezza del ‘Sandbox di Android’, che impedisce alle app di accedere ai dati l’una dell’altra o interferire con le loro operazioni, poiché le app all’interno di un contenitore condividono lo stesso sandbox. Questo è un attacco particolarmente subdolo perché l’app bancaria stessa non viene modificata, quindi il rilevamento della manipolazione del codice non aiuta a catturare la minaccia.