Il falso documento pdf allegato all’email “PURCHASE ORDER 05-30-2023” contiene un link, da cui si scarica un file tgz con un TAR, al cui interno c’è un exe: il malware.
Cybercrime, maxi campagna contro dispositivi accesso remoto e servizi VPN
Il CSIRT-Italia: Maxi campagna di attacchi contro dispositivi accesso remoto e servizi VPN. Prese di mira le installazioni Citrix NetScaler e F5, oltre a Pulse Secure VPN. Obiettivo: rubare dati da rivendere
Maxi campagna di attacchi del cybercrime contro i dispositivi di accesso remoto e i servizi VPN. Lo denunciano gli esperti di cyber security del CSIRT-Italia. Questa effettua scansioni network ad ampio raggio, finalizzate all’individuazione di porte aperte e, una volta identificati possibili riferimenti a dispositivi di accesso remoto o servizi VPN, sfrutta vulnerabilità note per ottenere un accesso alla rete bersaglio. Gli attacchi sono rivolti a installazioni Citrix NetScaler e F5, oltre al servizio Pulse Secure VPN, sfruttando le vulnerabilità CVE-2019-11510, CVE-2019-11539, CVE-2019-19781 e CVE-2020-5902. Una volta ottenuto l’accesso, i criminali cibernetici installano strumenti volti alla persistenza ed esfiltrano dati, che saranno poi venduti su piattaforme online. Non è possibile nemmeno escludere la distribuzione ransomware sui sistemi presenti nelle reti delle vittime.
Gli esperti di cyber security identificano i tool usati dal cybercrime
Secondo gli esperti di cyber security, l’attacco è supportato da strumenti open source come ngrok, LDAP (Lightweight Directory Access Protocol) e il reverse proxy FRP, che consente di eseguire il tunneling al di fuori del perimetro di rete della vittima, permettendo un accesso persistente alla rete dall’esterno del perimetro del firewall. Altri tool coinvolgono webshell come ChunkyTuna, Tiny e China Chopper, che assicurano ulteriori punti di accesso alla rete vittima. Le webshell hanno funzioni di ascolto sulle connessioni HTTP (Hypertext Transfer Protocol) in entrata e possono eseguire il codice JavaScript sul sistema colpito con: capacità di comando e controllo (C2); enumerazione di directory; caricamento ed esecuzione di payload aggiuntivi; esfiltrazione di dati. L’arsenale utilizzato comprende anche uno script PowerShell, parte del progetto open source “KeeThief”, che può consentire ai criminal hacker di accedere alle credenziali archiviate nel software di gestione delle password “KeePass”.
Articoli correlati
