Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

ransomware  trojan  Xbash   martedì, 18 settembre 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi in grado di creare gravi disservizi ai sistemi bersaglio. Gli attacchi sono originati da una nuova minaccia malware nota come Xbash, attribuita al gruppo di cybercriminali “Iron Group”, la quale presenta caratteristiche di grande virulenza e capacità di autopropagazione all’interno di sistemi Linux e Windows.

I ricercatori hanno individuato varie tipologie di capacità offensive all’interno del codice malevolo, come la capacità di utilizzare exploit per propagarsi sui sistemi sfruttando software vulnerabili presenti al loro interno. In particolare, Xbash risulta in grado di sfruttare le seguenti criticità:

  • vulnerabilità di tipo esecuzione di codice da remoto risalente al 2016 nel Resource Manager di Hadoop YARN;
  • vulnerabilità risalente al 2015 in Redis in grado di consentire scrittura di file arbitrari ed esecuzione di comandi da remoto senza autenticazione;
  • vulnerabilità di Apache ActiveMQ in grado di consentire il caricamento e l’esecuzione di file arbitrari sul sistema (CVE-2016-3088).

Oltre allo sfruttamento di queste vulnerabilità, il malware è in grado di effettuare scansioni di rete attive ed effettuare attacchi di tipo brute force con credenziali predefinite sui servizi di rete VNC, Rsync, MySQL, MariaDB, Memcached, PostgreSQL, MongoDB e phpMyAdmin. 

La grande pericolosità di Xbash risiede nelle azioni malevole perpetrate a seguito di una propagazione dove, oltre ad installarsi in maniera persistente sul sistema tramite cronjob in Linux o come elemento di avvio di Windows, questa minaccia è in grado di:

  • cancellare i dati all’interno dei database compromessi e richiedere un riscatto in bitcoin (falso ransomware);
  • scaricare malware di tipo Trojan/Cryptominer per sfruttare la capacità computazionale dell’host vittima, causando forti rallentamenti (Windows);
  • Scaricare malware di tipo Trojan/Ransomware in grado di rendere inutilizzabili dati e file presenti all’interno della macchina infetta (Windows).

È stata inoltre osservata all’interno del codice della minaccia la presenza di capacità di propagazione in rete LAN. Tuttavia, queste funzionalità risultano disabilitate nelle versioni di Xbash al momento circolanti.

Il post originale di Unit 42 contiene un’analisi più dettagliata di questo malware, inclusi svariati IoC.

Fonte: Yoroi

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto