Sicurezza Informatica

Anubis Backdoor: malware Python stealth usato da FIN7 contro aziende

Anubis Backdoor è un malware Python usato dal gruppo FIN7: elude i controlli, offre pieno controllo remoto e si diffonde tramite malspam e SharePoint compromessi.

da Livio Varriale
scritto da Livio Varriale 0 commenti 4 minuti leggi
Anubis Backdoor FIN7

La minaccia informatica chiamata Anubis Backdoor segna una nuova evoluzione nelle tecniche di intrusione persistente del gruppo Savage Ladybug, più noto come FIN7. Questo malware, scritto in Python e progettato per sistemi Windows, rappresenta una forma sofisticata di accesso remoto nascosto (backdoor), in grado di fornire controllo completo agli attaccanti, senza destare sospetti nei tradizionali sistemi di sicurezza.

Backdoor Python offuscata: semplice ma efficace contro gli antivirus

La peculiarità di Anubis risiede nella sua capacità di eludere i controlli antivirus, pur utilizzando tecniche di offuscamento considerate non particolarmente avanzate. La struttura del malware è modulare: si presenta come pacchetto ZIP, contenente uno script Python principale e diversi eseguibili. La sua funzione iniziale è quella di decifrare e lanciare un payload crittografato, usando l’algoritmo AES-CBC con una chiave incorporata nel testo cifrato stesso.

A seconda della variante, il payload viene eseguito direttamente in memoria oppure salvato su disco e poi attivato. Questa flessibilità nell’esecuzione sottolinea l’adattabilità del codice a differenti ambienti operativi e strategie di attacco.

Obiettivo Windows: chiaro fin dall’inizio

Lo script importa in modo esplicito la libreria winreg, senza alcuna verifica sul sistema operativo, segnalando chiaramente la sua destinazione esclusiva su macchine Windows. L’uso della funzione exec() per caricare dinamicamente il codice decifrato in memoria è uno dei segnali più evidenti della natura malevola del malware.

Offuscamento leggero ma funzionale

Anubis utilizza uno schema di offuscamento simile a quello implementato da strumenti pubblici come PyObfuscate o Anubis Obfuscator, consistendo principalmente nella sostituzione di nomi di variabili con lettere difficili da distinguere, come “L” e “I”. Sebbene non sofisticata, questa tecnica si dimostra sufficiente per confondere le soluzioni antivirus basate sull’analisi statica del codice.

Comunicazione cifrata e resiliente

Una volta eseguito, il malware stabilisce una connessione TCP verso un server C2, scegliendo tra due indirizzi IP in sequenza di failover. Tutti i messaggi scambiati, inclusi i dati iniziali di connessione come IP locale e PID del processo, sono codificati in base64. Per ottenere l’IP locale, il malware utilizza una tecnica intelligente: crea una connessione UDP fittizia a 8.8.8.8 porta 80, in modo da forzare il sistema operativo a selezionare l’interfaccia di rete da utilizzare, senza generare traffico effettivo.

Versatilità dei comandi e controllo completo del sistema

Il cuore operativo di Anubis Backdoor risiede nel ciclo di ricezione dei comandi dal server C2, con funzionalità già integrate o attivabili a richiesta:

  • killexit: termina l’esecuzione del malware
  • ip: restituisce l’indirizzo IP del sistema infetto
  • cd: cambia directory
  • gt / up: scarica o carica file da/verso il sistema
  • env: estrae variabili d’ambiente
  • !cf!: modifica chiavi di registro Windows
  • !tcf!: verifica la disponibilità di porte TCP (80/443 o definite)
  • !execpy!: esegue codice Python in thread separati
  • !mme: carica in memoria librerie DLL attraverso PythonMemoryModule

Il comando predefinito (else) usa subprocess.Popen per lanciare comandi shell, garantendo pieno controllo remoto del sistema compromesso.

Tecniche di delivery: spam e SharePoint compromessi

Anubis è diffuso tramite campagne malspam (T1566 – Phishing), dove le vittime vengono ingannate ad aprire file ZIP contenenti lo script malevolo. In alcuni casi, il payload è ospitato su istanze SharePoint compromesse (T1071.001 – Web Protocols), una tattica progettata per sfruttare ambienti aziendali familiari e bypassare i filtri di sicurezza.

Differenze tra varianti e segni di sviluppo attivo

Le versioni analizzate mostrano diverse modalità di esecuzione del payload, segnale di una fase di test e adattamento continuo da parte dei cybercriminali. Alcune scrivono il payload su disco, altre lo eseguono direttamente dalla memoria, suggerendo strategie differenti per scenari di sicurezza specifici.

Tattiche di persistenza e modularità del codice

Un altro aspetto rilevante è la scelta di mantenere la backdoor “leggera“, demandando l’esecuzione di funzioni avanzate (es. keylogging, screenshot, credential stealing) solo su richiesta remota. Questo approccio minimizza la superficie d’attacco e riduce il rischio di rilevamento da parte degli strumenti EDR.

Indicazioni per la mitigazione

Per contrastare le attività di Anubis Backdoor, si raccomandano le seguenti misure:

  • Monitoraggio avanzato del traffico in uscita, con particolare attenzione alle connessioni TCP sospette e messaggi codificati in base64
  • Protezione avanzata degli endpoint, con capacità di rilevamento di attività Python anomale
  • Verifica della sicurezza su SharePoint, evitando che venga utilizzato come vettore di distribuzione
  • Filtraggio delle email con blocco dei file ZIP contenenti script eseguibili
  • Restrizione dell’uso di Python su sistemi non dedicati, ove possibile

Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale

Annunci

Seguici su Google News iscrivendoti al canale

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

RHC Conference 2025: Roma ospita l’hub italiano della...

Guerra cibernetica, sabotaggio strategico e cyberspionaggio nei teatri...

Attacchi mirati, falle critiche e compromissioni software nell’ecosistema...

StealC evolve con la versione 2

FBI chiede informazioni su Salt Typhoon e aiuto

Russia, Corea del Sud, Francia e Olanda sotto...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara