Abbiamo parlato spesso di TrickBot che, ad oggi, è tra i malware più diffusi al mondo: in breve è definibile come una piattaforma malware polivalente per Windows che utilizza differenti moduli per poter eseguire diverse attività dannose tra le quali il furto di informazioni e password, l'infiltrazione di domini Windows e la distribuzione di altri malware. TrickBot viene affittata da cyber attaccanti che la utilizzano per infiltrare reti e raccogliere da queste tutti quei dati che hanno un qualche valore. Tra le altre cose, questa piattaforma è usata per distribuire i ransomware Conti e Ryuk.
Alla fine del 2019, sia SentinelOne che NTT pubblicarono report che svelavano l'esistenza di un nuovo framework di TrickBot chiamato Anchor, che utilizza DNS per comunicare coi propri server di comando e controllo.
Fonte: https://labs.sentinelone.com |
Chiamato Anchor_DNS, il malware è pensato per colpire solo target di un certo livello, sopratutto quelli che possono fornire informazioni finanziarie di valore. I suoi gestori lo utilizzano come backdoor. Questo è TrickBot Anchor in breve.
La backdoor di TrickBot Anchor sbarca su Linux
Storicamente Anchor è stato un malware per Windows. Alcuni ricercatori però hanno individuato molto recentemente una nuova variante che dimostra come Anchor_DNS sia stato dotato di una nuova versione della backdoor chiamata "Anchor_Linux". Nella foto sotto è visibile la stringa individuata in un eseguibile Linux x64.
Fonte: https://labs.sentinelone.com |
Il ricercatore Vitali Kremez ha quindi analizzato questo campione scoprendo che, quando installato, Anchor_Linuz si configurerà per eseguirsi ogni minuto usando il comando crontab, ottenendo così la persistenza sul sistema
Fonte: Vitali Kremez |
Altro dettaglio: oltre ad avere funzionalità di backdoor per infettare dispositivi Linux, il malware contiene anche l'eseguibile TrickBot per Windows. Per infettare i dispositivi Windows Anchor_Linux copia il malware sull'host Windows usando l'SMB, poi si configura come un servizio di Windows, quindi si esegue sull'host e stabilisce la connessione col server C&C per ricevere comandi da eseguire.
Insomma, questa versione per Linux consente agli attaccanti di colpire ambienti non Windows con una backdoor che però garantisce loro la possibilità di estendersi anche ai dispositivi Windows sulla stessa rete, qualora ve ne fossero.
"Il malware agisce come una backdoor persistente sugli ambienti UNIX ed è usato come perno per sfruttare Windows: un vettore di attacco iniziale non ortodosso diverso e fuori dal classico attacco di phishing. Consente agli attaccanti di infettare dispositivi (come i router) e server UNIX ed espandersi poi a tutta la rete, colpendo anche gli host Windows" ha detto Kremez.
Il problema è realissimo, stante il crescente numero di dispositivi IoT che utilizzano il sistema operativo Linux: dispositivi come router, VPN, NAS e molti altri sono tutti potenziali target di Anchor_Linux.
TrickBot Enterprise
Nell'infografica tutte le attività di TrickBot.
Fonte: https://labs.sentinelone.com |
Nessun commento:
Posta un commento