Il nuovo malware Linux costringe i server SSH a violare le reti

Vai ai contenuti

Il nuovo malware Linux costringe i server SSH a violare le reti

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
*Il nuovo malware Linux costringe i server SSH a violare le reti*
-scansionate le Vostre Macchine Linux-

Una nuova botnet chiamata "RapperBot" viene utilizzata negli attacchi da metà giugno 2022, concentrandosi sulla forza bruta che si fa strada nei server SSH Linux per stabilire un punto d'appoggio sul dispositivo.

I ricercatori mostrano che RapperBot si basa sul trojan Mirai ma si discosta dal comportamento normale del malware originale, che è la propagazione incontrollata al maggior numero possibile di dispositivi.

Invece, RapperBot è più strettamente controllato, ha capacità DDoS limitate e il suo funzionamento sembra orientato all'accesso iniziale al server, probabilmente utilizzato come trampolino di lancio per il movimento laterale all'interno di una rete.

Negli ultimi 1,5 mesi dalla sua scoperta, la nuova botnet ha utilizzato oltre 3.500 IP univoci in tutto il mondo per scansionare e tentare di forzare i server SSH Linux.
Basato su Mirai, ma diverso.

La nuova botnet è stata scoperta in natura dai cacciatori di minacce di Fortinet, che hanno notato che il malware IoT presentava alcune stringhe insolite relative a SSH e hanno deciso di indagare ulteriormente.

RapperBot si è rivelato un fork di Mirai, ma con il proprio protocollo di comando e controllo (C2), caratteristiche uniche e attività post-compromissione atipica (per una botnet).

"A differenza della maggior parte delle varianti Mirai, che nativamente i server Telnet di forza bruta utilizzano password predefinite o deboli, RapperBot esegue esclusivamente la scansione e tenta di utilizzare i server SSH di forza bruta configurati per accettare l'autenticazione della password", spiega il rapporto Fortinet.

"La maggior parte del codice malware contiene un'implementazione di un client SSH 2.0 in grado di connettersi e forzare qualsiasi server SSH che supporti lo scambio di chiavi Diffie-Hellmann con chiavi a 768 o 2048 bit e crittografia dei dati tramite AES128-CTR".

La forzatura bruta SSH si basa su un elenco di credenziali scaricate dal C2 tramite richieste TCP univoche dell'host, mentre il malware segnala al C2 quando è riuscito.

I ricercatori Fortinet hanno seguito il bot e hanno continuato a campionare nuove varianti, notando che RapperBot utilizzava un meccanismo di auto-propagazione tramite un downloader binario remoto, che è stato rimosso dagli attori delle minacce a metà luglio.

Le varianti più recenti in circolazione a quel tempo prevedevano un comando di shell che sostituiva le chiavi SSH della vittima con quelle dell'attore, stabilendo essenzialmente la persistenza che viene mantenuta anche dopo le modifiche alla password SSH.

Inoltre, RapperBot ha aggiunto un sistema per aggiungere la chiave SSH dell'attore a "~/.ssh/authorized_keys" dell'host, che aiuta a mantenere l'accesso al server tra i riavvii o anche se il malware viene trovato ed eliminato.

Nei campioni più recenti analizzati dai ricercatori, il bot aggiunge l'utente root "suhelper" sugli endpoint compromessi e crea un job Cron che aggiunge nuovamente l'utente ogni ora nel caso in cui un amministratore scopra l'account e lo elimini.

Inoltre, vale la pena notare che gli autori del malware hanno aggiunto ulteriori livelli di offuscamento alle stringhe nei campioni successivi, come la codifica XOR.
Offuscamento delle stringhe aggiunto nelle varianti successive

La maggior parte delle botnet esegue attacchi DDoS o si dedica al mining di monete dirottando le risorse computazionali disponibili dell'host, e alcune fanno entrambe le cose.

L'obiettivo di RapperBot, tuttavia, non è evidente, poiché gli autori hanno limitato le sue funzioni DDoS e le hanno persino rimosse e ad un certo punto le hanno reintrodotte.

Inoltre, la rimozione dell'auto-propagazione e l'aggiunta dei meccanismi di persistenza e prevenzione del rilevamento indicano che gli operatori della botnet potrebbero essere interessati alle vendite di accesso iniziale agli attori del ransomware.

Fortinet riferisce che i suoi analisti non hanno visto payload aggiuntivi consegnati dopo il compromesso durante il periodo di monitoraggio, quindi il malware si annida semplicemente sugli host Linux infetti e rimane inattivo.




3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti