Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

ransomware  trojan  Xbash   martedì, 18 settembre 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi in grado di creare gravi disservizi ai sistemi bersaglio. Gli attacchi sono originati da una nuova minaccia malware nota come Xbash, attribuita al gruppo di cybercriminali “Iron Group”, la quale presenta caratteristiche di grande virulenza e capacità di autopropagazione all’interno di sistemi Linux e Windows.

I ricercatori hanno individuato varie tipologie di capacità offensive all’interno del codice malevolo, come la capacità di utilizzare exploit per propagarsi sui sistemi sfruttando software vulnerabili presenti al loro interno. In particolare, Xbash risulta in grado di sfruttare le seguenti criticità:

  • vulnerabilità di tipo esecuzione di codice da remoto risalente al 2016 nel Resource Manager di Hadoop YARN;
  • vulnerabilità risalente al 2015 in Redis in grado di consentire scrittura di file arbitrari ed esecuzione di comandi da remoto senza autenticazione;
  • vulnerabilità di Apache ActiveMQ in grado di consentire il caricamento e l’esecuzione di file arbitrari sul sistema (CVE-2016-3088).

Oltre allo sfruttamento di queste vulnerabilità, il malware è in grado di effettuare scansioni di rete attive ed effettuare attacchi di tipo brute force con credenziali predefinite sui servizi di rete VNC, Rsync, MySQL, MariaDB, Memcached, PostgreSQL, MongoDB e phpMyAdmin. 

La grande pericolosità di Xbash risiede nelle azioni malevole perpetrate a seguito di una propagazione dove, oltre ad installarsi in maniera persistente sul sistema tramite cronjob in Linux o come elemento di avvio di Windows, questa minaccia è in grado di:

  • cancellare i dati all’interno dei database compromessi e richiedere un riscatto in bitcoin (falso ransomware);
  • scaricare malware di tipo Trojan/Cryptominer per sfruttare la capacità computazionale dell’host vittima, causando forti rallentamenti (Windows);
  • Scaricare malware di tipo Trojan/Ransomware in grado di rendere inutilizzabili dati e file presenti all’interno della macchina infetta (Windows).

È stata inoltre osservata all’interno del codice della minaccia la presenza di capacità di propagazione in rete LAN. Tuttavia, queste funzionalità risultano disabilitate nelle versioni di Xbash al momento circolanti.

Il post originale di Unit 42 contiene un’analisi più dettagliata di questo malware, inclusi svariati IoC.

Fonte: Yoroi

Notizie correlate

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto

Il nuovo ransomware PyLocky colpisce paesi europei

11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware distribuito prevalentemente in Germania e Francia.Leggi tutto

Il nuovo exploit kit Fallout distribuisce il ransomware GandCrab

7 settembre 2018

Sono state recentemente individuate campagne che sfruttano l'exploit kit Fallout per distribuire il ransomware GandCrab, altri trojan, falsi antivirus e versioni malevole di Flash Player. Leggi tutto