skip to Main Content

Iron Group lancia una campagna di cyber attacchi con il nuovo malware Xbash

La Unit 42 di Palo Alto Networks: I cyber criminali di Iron Group (alias Rocke) hanno lanciato un’ondata di attacchi informatici ai server Windows e Linux con il nuovo malware Xbash

I cyber criminali di Iron Group (alias Rocke) hanno lanciato un’ondata di attacchi informatici ai server Windows e Linux, usando il nuovo malware Xbash. Lo hanno scoperto i ricercatori di cyber security dell’Unit 42 di Palo Alto Networks. La formazione di hacker malevoli, nota per le sue campagne ransomware, sfrutta un codice che ha sia questa capacità sia quella di effettuare CoinMining. Inoltre, ha caratteristiche di una botnet e di un worm in quanto può replicarsi da solo come i noti WannaCry e Petya/NotPetya. Infine, è in grado di diffondersi rapidamente nei network infetti, anche se sembra che per il momento questa peculiarità non sia stata ancora attivata. Lo fa, peraltro, attaccando password deboli o vulnerabilità non patchate (eliminate tramite gli aggiornamenti).

Il codice malevolo, che ha anche caratteristiche di worm, per propagarsi sfrutta attacchi a password deboli e a vulnerabilità non patchate. Ecco quali sono

In dettaglio, il malware Xbash per propagarsi sfrutta vulnerabilità di tipo esecuzione di codice da remoto nel Resource Manager di Hadoop YARN; vulnerabilità in Redis, in grado di consentire scrittura di file arbitrari ed esecuzione di comandi da remoto senza autenticazione; vulnerabilità di Apache ActiveMQ in grado di consentire il caricamento e l’esecuzione di file arbitrari sul sistema. Inoltre, i cyber criminali di Iron Gorup sono in grado con il codice malevolo di effettuare scansioni di rete attive ed effettuare attacchi di tipo brute force con credenziali predefinite sui servizi di rete VNC, Rsync, MySQL, MariaDB, Memcached, PostgreSQL, MongoDB e phpMyAdmin.

Tutti i danni che Xbash può arrecare a una vittima

Xbash, una volta installato in maniera persistente nel sistema-bersaglio può cancellare i dati all’interno dei database compromessi e richiedere un riscatto in Bitcoin (falso ransomware); scaricare malware di tipo Trojan/Cryptominer per sfruttare la capacità computazionale dell’host vittima, causando forti rallentamenti (Windows); scaricare malware di tipo Trojan/Ransomware in grado di rendere inutilizzabili dati e file presenti all’interno della macchina infetta (Windows). Peraltro, il codice di Iron Group ha capacità di “anti-detection”. Può, infatti, offuscare gli indicatori di comportamento malevolo per rendere più difficile la sua individuazione da parte di antivirus e antimalware. Tanto che a oggi ha un tasso di detection pari a 1 su 57.

Il post di Palo Alto Networks con gli indicatori di compromissione

Photo Credits: Palo Alto Networks

Back To Top