Connect with us

Tech

Enemybot, un nuovo strumento per attacchi DDoS

Condividi questo contenuto

Tempo di lettura: 3 minuti. Una panoramica sulle vulnerabilità sfruttate e i comandi eseguiti

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

A metà marzo, è stata rilevata da FortiGuard Labs una nuova botnet DDoS nominata “Enemybot” e che si attribuirebbe a Keksec, un attore di minacce specializzato in cryptomining e attacchi DDoS. La botnet che principalmente deriva la sua implementazione dal codice sorgente di Gafgyt (trapelato nel 2015), prenderebbe anche in prestito diversi moduli dal codice sorgente originale di Mirai.

Enemybot utilizzerebbe diversi metodi di offuscamento per ostacolare l’analisi e nascondere i propri indici rilevatori ad altre botnet (la maggior parte delle botnet, incluso Enemybot, ricercano infatti tali indicatori per terminare altre botnet in esecuzione sullo stesso dispositivo) e si connetterebbe inoltre ad un server di comando e controllo C2 nascosto nella rete Tor, rendendo così più complicato il relativo smantellamento.

I dispositivi sotto tiro

Come la maggior parte delle botnet, anche Enemybot infetterebbe più architetture possibili per aumentare la propria possibilità di propagazione. Oltre ai dispositivi IoT, sarebbero interessati router Seowon Intech, D-Link e iRZ e varie distribuzioni desktop/server (arm, arm5, arm64, arm7, bsd, darwin, i586, i686, m68k, mips, mpsl, ppc, ppc-440 fp, sh4, spc, x64, x86).

Enemybot, i metodi di diffusione

Enemybot utilizzerebbe diversi metodi osservati anche in altre campagne per l’infezione e la diffusione di botnet IoT. Uno dei modi consisterebbe nell’utilizzare un elenco di combinazioni di username/password codificate per accedere a dispositivi configurati con credenziali deboli o di default.

Il malware tenterebbe anche di eseguire comandi shell per infettare dispositivi Android configurati in modo errato e che espongono la porta 5555 (Android Debug Bridge) e di sfruttare vulnerabilità specifiche.

Eccone alcune:

  • CVE-2020-17456  è una vulnerabilità relativa ai router SEOWON INTECH SLC-130 e SLR-120S; 
  • CVE-2018-10823 è una vulnerabilità per i router D-Link che consente a un utente autenticato di eseguire un comando arbitrario (DWR-116 fino a 1.06, DWR-512 fino a 2.02, DWR-712 fino a 2.02, DWR-912 fino a 2.02, DWR-921 fino a 2.02, DWR-111 fino a 1.01);
  • CVE-2022-27226 è una vulnerabilità recente sui router mobili iRZ. Anche questa vulnerabilità consente a un utente malintenzionato di eseguire comando arbitrari;
  • CVE-2022-25075 – 25084 per i router TOTOLINK;
  • CVE-2021-44228/2021-45046 meglio conosciuto come Log4j;
  • CVE-2021-41773/CVE-2021-42013 per i server HTTP Apache;
  • CVE-2018-20062 ThinkPHP CMS;
  • CVE-2017-18368 per i router Zyxel P660HN;
  • CVE-2016-6277 per i router NETGEAR;
  • CVE-2015-2051 per irouter D-Link;
  • CVE-2014-9118 per i router Zhone.

Le somiglianze con Mirai

Come detto sebbene Enemybot sia principalmente basato su Gafgyt, è stato osservato che alcuni dei suoi moduli sarebbero stati copiati dal codice sorgente di Mirai. Un modulo condiviso con Mirai sarebbe per esempio il modulo “bot killer” migliorato rispetto al codice originale e deputato alla ricerca di tutti i processi in esecuzione avviati da determinati percorsi file o con parole chiave specifiche. Altri moduli tra quelli copiati sarebbero rispettivamente quello per eseguire un attacco di tipo brute force e quello denominato scanner_xywz() (vedi figura).

Screenshot of obvious code similarities between Mirai and Enemybot’s scanner modules

Comandi e funzionalità del bot

Secondo la ricostruzione, una volta che il bot viene installato sul dispositivo target, si connetterebbe al server di comando e controllo C2 (nascosto nella rete Tor xfrvkmokgfb2pajafphw3upl6gq2uurde7de7iexw4aajvslnsmev5id[.]onion) attendendo ulteriori comandi da un elenco di IP proxy SOCKS hardcoded.

Di seguito una serie dei comandi supportati.

tabella dei comandi supportati dal bot
tabella dei comandi supportati dal bot

Conclusioni

L’insieme delle vulnerabilità e exploit sfruttati relativi a server Web, applicazioni, dispositivi IoT e l’ampia gamma di architetture supportate, potrebbe essere secondo FortiGuard Labs “un segno che Keksec sta testando la fattibilità dell’espansione della botnet oltre i dispositivi IoT a basse risorse per qualcosa di più dei semplici attacchi DDoS. Sulla base delle loro precedenti operazioni di botnet, utilizzarli per il cryptomining è una grande possibilità“.

Secondo le evidenze di questa ricerca gli esperti Joie Salvio e Roy Tay di FortiGuard Labs concludono affermando che è lecito aspettarsi ulteriori distribuzioni aggiornate e quindi più pericolose.

Il rapporto si conclude con gli IoC pubblicati relativi a file, URL e C2.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Tech

Chaos, il malware multipiattaforma è in rapida espansione. Italia coinvolta

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il malware basato su Go sta crescendo rapidamente prendendo di mira una una vasta gamma di architetture software Windows e Linux compresi

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

I ricercatori di Black Lotus Labs presso Lumen Technologies, hanno recentemente scoperto il malware multifunzionale Chaos scritto in Golang e sviluppato per colpire dispositivi basati su sistemi operativi Windows e Linux, nonché una vasta gamma di architetture software (ARM, Intel (i386), MIPS e PowerPC) utilizzate in dispositivi che vanno dai router SOHO (Small Office/Home Office) ai server aziendali.

Gli esperti avrebbero analizzato circa 100 campioni del malware Chaos, constatando che risulta essere scritto in lingua cinese, si basa su un’infrastruttura C2 con sede in Cina e include funzionalità precedentemente documentate nella botnet Kaiji Linux .

Inoltre secondo il rapporto, alcuni campioni analizzati dagli esperti sarebbero stati in grado di sfruttare le vulnerabilità CVE-2017-17215 e CVE-2022-30525 , impattando rispettivamente sui dispositivi Huawei e Zyxel.

La catena d’infezione

A differenza delle botnet di distribuzione di ransomware su larga scala come Emotet che sfruttano lo spam per diffondersi e crescere, Chaos si propaga attraverso CVE noti e chiavi SSH brute force e rubate.” commentano i ricercatori.

La catena d’infezione può essere così riassunta:

  • Chaos viene installato su un dispositivo host, stabilisce la persistenza e invia segnali al C2 integrato. 
  • L’host riceve quindi una serie di comandi di staging a seconda del campione e dell’ambiente host (comandi per inizializzare la propagazione sfruttando un CVE noto, per propagarsi tramite SSH, tramite brute force, chiavi SSH rubate e IP spoofing). 
  • L’host riceve una serie di comandi di esecuzione aggiuntivi, inclusa l’esecuzione della propagazione tramite il CVE designato, ulteriori sfruttamenti del target corrente, i lancio di attacchi DDoS e il cryptomining.

Gli obiettivi

Gli esperti sono stati in grado di enumerare i C2 e gli obiettivi di più cluster Chaos distinti, alcuni dei quali sono stati impiegati in recenti attacchi DDoS contro i settori dei servizi finanziari e della tecnologia, dei media e dell’intrattenimento. 

L’analisi dei contagi da metà giugno a metà luglio 2022 ha rivelato che la maggior parte dei bot si trovava in Europa e in particolare in Italia. Altre infezioni sono state osservate in Nord e Sud America e Asia Orientale.

Malware del caos

In crescita i malware scritti in Golang

Prima riflessione da fare nell’analisi del Chaos Malware è la capacità del codice malevolo di infettare una ampia gamma di sistemi basati su molteplici piattaforme, ciò grazie al fatto che è stato scritto nel linguaggio di programmazione Go. Il linguaggio Go conferisce ai malware portabilità, flessibilità, capacità di eludere sistemi di difesa e di analisi, per questo motivo negli ultimi anni si è assistito ad un incremento delle minacce scritte in Go.” – commenta per #MatriceDigitale Pierluigi Paganini CEO Cybhorus, esperto di cybersecurity ed intelligence.

Preoccupante il tasso di crescita delle infezioni

Chaos malware è estremamente insidioso, la capacità di supportare oltre 70 differenti commandi lo rende uno strumento ottimale per condurre molteplici attività malevole, dall’esecuzione di attacchi DDoS ad attività di crypto mining.”prosegue l’esperto e conclude – “Sebbene ad oggi la botnet basata su Chaos non sia comparabile alle principali nel panorama delle minacce, preoccupa il tasso di crescita delle infezioni, ad aggravare la situazione una prevalenza di sistemi compromessi da questa minaccia proprio in Italia Abbiamo pochi dubbi sul fatto che questa minaccia continuerà a crescere grazie ai fattori illustrati.

I consigli dei ricercatori

Poiché uno dei modi principali in cui si diffonde Chaos è lo sfruttamento di vulnerabilità note è consigliabile garantire una gestione efficace delle patch dei CVE scoperti e monitorare le connessioni a qualsiasi infrastruttura sospetta. In questo contesto gli utilizzatori di router SOHO dovrebbero sempre assicurare l’installazione di aggiornamenti e patch di sicurezza disponibili sui propri dispositivi e gli smart worker dovrebbero sempre modificare le password predefinite e disabilitare l’accesso root remoto sui computer qualora non necessario.

Prosegui la lettura

Tech

Erbium, il nuovo infostealer si nasconde nei software crack

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il nuovo MaaS viene distribuito tramite applicazioni e videogiochi pirata per rubare credenziali e crypto wallet

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

I ricercatori di sicurezza Cyfirma hanno scoperto una campagna che sfrutta falsi software e giochi pirata per distribuire l’infostealer noto con il nome di Erbium, di cui ne ha parlato anche Cluster25 in un altrettanto recente rapporto, rilevando attacchi in diversi paesi, Italia inclusa (Stati Uniti, Francia, Colombia, Spagna, India, Vietnam e Malesia).

Erbium sta riscuotendo successo e in un mese è stato possibile osservare un crescente livello di diffusione di questa minaccia in tutto il mondo.

ErbiumStealer come MaaS

Erbium è un nuovo Malware-as-a-Service (MaaS) che fornisce agli abbonati uno strumento per il furto di informazioni che sta guadagnando sempre più popolarità nella comunità underground della criminalità informatica grazie alle sue funzionalità, all’assistenza offerta e ai prezzi competitivi.

Il campione analizzato sarebbe un binario eseguibile a 32 bit, con dati offuscati (per eludere il rilevamento da parte di prodotti di sicurezza e firewall) che vengono decrittografati utilizzando la logica XORing, che stabilisce infine una comunicazione di comando e controllo C2.

Ecco le principali capacità del malware:

  • Capacità di enumerare le unità.
  • Possibilità di enumerare percorsi, file e cartelle.
  • Possibilità di caricare librerie, processi e DLL in memoria.
  • Capacità di raccogliere informazioni di sistema.
  • Capacità di comunicazione di rete.
  • Raccolta di credenziali utente, come password, da una gamma di popolari programmi chat, e-mail e browser Web.
  • Possibilità di ottenere informazioni da varie applicazioni installate.
  • Possibilità di ottenere informazioni su crypto wallet [credenziali di accesso e fondi archiviati].
  • Possibilità di raccogliere dati di autenticazione (2FA) e software di gestione password.

Erbium, le funzionalità

In pratica si legge che l’infostealer può raccogliere dai browser (Cyberfox, Firefox, K-Meleon, BlackHawk, Pale Moon, Google Chrome e Thunderbird) diversi tipi di dati quali password, cookie, numeri di carte di credito e altre informazioni che vengono salvate nei moduli web oltre ad esfiltrare i dati da diversi Crypto Wallet installati come estensioni browser.

Inoltre il malware sarebbe anche in grado di carpire i codici per l’autenticazione multifattore dalle applicazioni EOS Authenticator, Authy 2FA e Authenticator 2FA, acquisire schermate, rubare file di autenticazione Telegram e profilare gli host in base al loro sistema operativo e all’hardware installati, inviando il tutto ad un server di presidio C2  tramite un sistema API integrato, scaricando persino payload aggiuntivi.

Tutte le operazioni inoltre possono essere monitorate da un pannello di controllo generale. La dashboard Erbium sarebbe raggiungibile tramite tre URL (https[://] panel[.]erbium [.]ml, raw[. ]githubusercontent[.]com e cdn[.]discordapp[.]com) tra cui figura anche il CDN di un server Discord, la nota piattaforma chat già nota per essere sfruttata dagli operatori malware.

Conclusioni

Sebbene Erbium sia ancora in fase di sviluppo, i prezzi concorrenziali e la volontà di venire incontro alle richieste dei clienti senz’altro stanno influenzando il mercato del MaaS (l’uso di malware stealer può ridurre di molto i costi e i tempi operativi), portando anche verso una diversificazione dei vettori di distribuzione dell’infostealaer Erbium (spear-phishing, malvertising, kit di exploit e loader vari).

Consigli

Ricordiamo che scaricare software pirata è sempre da bandire. Oltre ad essere illegale, può mettere a serio rischio la privacy e sicurezza di chi scarica, in quanto è possibile subire infezioni malware con probabili perdite finanziare, estorsioni e furti di identità.

 “Una volta che l’attore delle minacce infostealer ottiene le informazioni raccolte dai sistemi delle vittime, agirà come broker di accesso iniziale [IAB], pubblicizzando i dettagli ottenuti come violati sul dark web, su forum XSS clandestini in lingua russa, forum ad accesso speciale e marketplace dei criminali informatici“, è il commento di Cyfirma.

Si consiglia pertanto di:

  • evitare i siti che distribuiscono software pirata;
  • evitare la memorizzazione delle password nei moduli browser;
  • installare una soluzione di sicurezza adeguata.
Prosegui la lettura

Tech

Apple inizia a produrre l’iPhone 14 in India

Condividi questo contenuto

Tempo di lettura: 2 minuti. L’iPhone 14 è il primo dispositivo di punta di Apple a essere prodotto in India poco dopo il lancio

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Secondo quanto riportato da TechCrunch e Bloomberg, Apple ha iniziato ad assemblare l’iPhone 14 in India. È la prima volta che Apple sposta la produzione dalla Cina all’India così rapidamente dopo il lancio di un nuovo iPhone. Come riportato da TechCrunch, Apple sta utilizzando gli impianti di Foxconn a Sriperumbudur, in India, per produrre il dispositivo. In passato Apple ha prodotto i suoi iPhone di punta in India, ma in genere lo ha fatto ben dopo il lancio iniziale del telefono. L’azienda ha iniziato a produrre l’iPhone 13 in India solo ad aprile e ha fatto lo stesso con altri modelli di iPhone, tra cui l’iPhone 12 e l’iPhone 11. Abbiamo appreso per la prima volta che Apple intendeva colmare il divario tra i tempi di trasferimento della produzione dalla Cina all’India già ad agosto, sperando inizialmente di terminare la produzione dei primi iPhone in India a fine ottobre. Una fonte che ha familiarità con la situazione ha dichiarato a Bloomberg che Apple e Foxconn sono riuscite ad appianare i problemi della catena di fornitura, consentendo ad Apple di spostare la produzione in India più velocemente.

“Siamo entusiasti di produrre l’iPhone 14 in India”, ha dichiarato un portavoce di Apple a TechCrunch. Apple non ha risposto immediatamente alla richiesta di commento di The Verge. Apple ha iniziato a produrre iPhone in India nel 2017 con l’obiettivo di ridurre la dipendenza dell’azienda dalla Cina a causa dei crescenti conflitti con gli Stati Uniti. Questo rende inoltre i dispositivi più interessanti per il mercato indiano, in quanto la produzione locale dei dispositivi in India può renderli più accessibili nel Paese. Secondo TechCrunch, l’iPhone 14 standard costa attualmente 79.900 rupie (circa 980 dollari) in India, contro i 799 dollari degli Stati Uniti. Anche altre aziende, come Google, sembrano prendere in considerazione centri di produzione al di fuori della Cina. Google starebbe pensando di spostare la produzione del suo smartphone Pixel in India o in Vietnam. Samsung produce dispositivi nel Paese dal 2007 e nel 2018 ha aperto in India la più grande fabbrica di telefoni al mondo.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie1 settimana fa

Israele: la guerra informatica con l’Iran è senza precedenti

Tempo di lettura: 2 minuti. I comandanti delle unità di difesa e di cyber intelligence israeliane hanno annunciato che il...

Notizie1 settimana fa

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre...

Notizie2 settimane fa

Gli attacchi informatici dell’Iran contro Israele sono aumentati, dice l’esercito

Tempo di lettura: < 1 minuto. La radio ha citato ufficiali militari secondo cui gli attacchi sono aumentati del "70%".

Multilingua2 settimane fa

Anonymous viola i siti web dello Stato iraniano dopo la morte di Mahsa Amini

Tempo di lettura: 2 minuti. I due principali siti web del governo iraniano e alcuni siti dei media sono stati...

Notizie2 settimane fa

Russia guerra cibernetica coinvolge anche i i satelliti

Tempo di lettura: 2 minuti. Il Committee of Concerned Scientists ha lavorato per sensibilizzare l'opinione pubblica sulla situazione degli scienziati....

Notizie3 settimane fa

Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web

Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall'Agenzia di Stato Maggiore delle Forze Armate del...

Notizie3 settimane fa

Taiwan vigila mentre la Cina scatena la sua guerra informatica

Tempo di lettura: 2 minuti. Nel tentativo di resistere alle aggressioni cinesi, Taiwan ha aumentato le spese per la difesa...

Notizie3 settimane fa

Hacker iraniani colpiscono obiettivi nella sicurezza nucleare e nella ricerca genomica

Tempo di lettura: 3 minuti. La società di sicurezza aziendale Proofpoint ha attribuito gli attacchi mirati a un attore di...

Notizie3 settimane fa

La Cina accusa l’unità TAO della NSA di aver violato la sua università di ricerca militare

Tempo di lettura: 2 minuti. La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto...

Notizie3 settimane fa

Tempo di lettura: 2 minuti. Diversi gruppi di hacker iraniani hanno partecipato a un recente attacco informatico contro il governo...

Truffe recenti

Truffe online8 ore fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online6 giorni fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online6 giorni fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online1 settimana fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online3 settimane fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online3 settimane fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie1 mese fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Notizie1 mese fa

Truffatori telefonici causano danni per oltre 320.000 euro a Berlino

Tempo di lettura: 2 minuti. Migliaia di persone sono già cadute nel tranello di truffatori telefonici che si fingono dipendenti...

Notizie2 mesi fa

Ecco come si può acquistare una identità nel dark web e fare le truffe. Lo studio

Tempo di lettura: 2 minuti. Sappiamo tutti che le informazioni rubate vengono scambiate sul dark web e una nuova ricerca...

scam scam
Notizie2 mesi fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Tendenza