Enciclopedia delle botnet

Questa campagna è stata identificata dallo script Bash che rilascia sui server infettati, a cui viene assegnato il nome di 8UsA.sh. Dai primi incidenti osservati nel 2018, tuttavia, si è passati all'ondata più recente di attacchi iniziata a giugno 2020. I server violati si connettono ad un server Command-and-Control e scaricano un malware DDoS compilato per la specifica architettura. La comunicazione C2 viene stabilita tramite la porta 5555 e l'attacco DDoS viene sferrato tramite Telnet (porta TCP 23). Sembra che la comunicazione C2 principale sia gestita da Frantech Solutions, che non fornisce più assistenza.

La campagna 911 (Nine-One-One) implementa una variante nota della botnet Mirai denominata Sora. Attiva fin dall'inizio di aprile 2020, la campagna ha preso di mira i dispositivi IoT per almeno quattro mesi. La variante Sora, secondo i rapporti recenti, sfrutta l'esecuzione di codice remoto e le vulnerabilità dei sistemi di autenticazione presenti, rispettivamente, nei router Huawei e Dasan GPON. Un'altra caratteristica di questa variante è rappresentata dalla chiave di crittografia XOR con il valore 0xDEDEFBAF. Ogni stringa presente nel processo del malware viene decrittografata nella memoria tramite questa chiave e viene immediatamente crittografata nuovamente per evitare il rilevamento basato sulla memoria. Il nome di questa campagna di botnet deriva dai codici binari del malware implementato (911) con un'estensione che corrisponde all'architettura della vittima.

Per ulteriori materiali di lettura, visitate il sito  CERT.PL (in polacco) | TrendMicro

B3astMode è una botnet DDoS basata su Mirai che prende di mira i server SSH, i router Huawei HG532 e i dispositivi IoT. In questa campagna, il criminale tenta di attaccare i server SSH con la forza bruta. In caso di attacco, il criminale si collega al server C&C e scarica un payload dannoso denominato B3astMode in base all'architettura della vittima.

Per espandere la rete della botnet dell'attacco, il malware tenta di sfruttare 2 vulnerabilità RCE (Remote Code Execution):

• CVE-2017-17215, presente nel router Huawei tramite la porta TCP 37215.
• Una vulnerabilità DVR prodotta da MVPower tramite la porta TCP 60001.

Violando questi dispositivi, il criminale amplifica il volume degli attacchi flood eseguiti tramite TCP e UDP. Al momento della stesura di questo articolo, almeno 200.000 dispositivi sono potenziali vittime di questo attacco.

Per ulteriori materiali di lettura, visitate i collegamenti seguenti:

CERT.PL (in polacco) | TrendMicro

BashLegend è una campagna di attacchi sferrati da un hacker denominato UzzySenpai. I primi incidenti sono stati rilevati dai sensori di Guardicore a maggio 2020, tuttavia, la sua attuale ondata è iniziata a fine agosto.

In questa campagna, l'hacker sferra un attacco di forza bruta contro i server pubblici SSH. Dopo aver stabilito una connessione, il criminale scarica un file eseguibile denominato .0803 dal suo server Command-and-Control. Questo file è una versione offuscata di uno strumento open-source denominato RootHelper, che "aiuta nel processo di segnalazione dei privilegi su un sistema Linux", secondo la relativa descrizione riportata su Github.

In seguito, un miner XMRig Monero viene scaricato insieme ad una configurazione JSON. Fin dalla sua comparsa, abbiamo osservato l'utilizzo di un solo wallet (89QZqpUHJBUJTYWKXxcHMrWrsJNVhKLUh2EmYd9KbBkmNhY6MNcJc8BJJ89QE621aLWuffSWHe2y7cA9up7t2kohJH42rWY). 

Il cryptominer di BashLegend denomina chi lavora per lui con il numero di core CPU presenti sul sistema violato, ad es. 1-Squad, 4-Squad, ecc., il che ci fornisce informazioni sulla natura delle sue vittime. Alcuni lavoratori attivi vengono denominati 60-Squad a indicare che almeno una vittima con 60 core CPU ha subito l'attacco. Le stringhe osservate nei file dell'attacco, insieme con i primi incidenti originati in Romania, fanno chiaramente capire che l'operatore BashLegend è di origine romena.

Bins è una famiglia di campagne di attacchi DDoS. Il malware diffuso da questi attacchi è una variante della botnet Mirai, che presenta varie funzioni come flood UDP e TCP, spoofing IP, ecc. Alcuni esempi di malware si nascondono come il processo del daemon SSH o il server SSH denominato DropBear. I vari nomi del file del malware indicano esattamente le architettura che prende di mira l'attacco: mips, mipsel, sh4, x86, armv6l, i686, powerpc, i586, m68k, sparc, armv4l e armv5l.

Per ulteriori materiali di lettura, visitate il collegamento seguente: 

Stratosphere IPS

Un attacco ransomware comincia con una violazione iniziale, spesso eseguita tramite social engineering, e-mail di phishing, allegati e-mail dannosi o vulnerabilità nel perimetro della rete. Il malware inizierà a spostarsi lungo la tua rete e tenterà di massimizzare i danni dal suo punto di approdo. In genere, i malintenzionati cercano di impossessarsi di un controller di dominio, compromettono le credenziali, quindi individuano e crittografano qualsiasi backup di dati per impedire all'operatore di ripristinare i servizi compromessi e bloccati.

Osservate nella GGSN a partire dalla fine del 2019, la campagna di cryptomining FaNeL sembra sia gestita da un singolo hacker che opera in Romania. La botnet FaNeL attacca i sistemi presi di mira violando il loro servizio SSH, scarica i vari script per analizzare le risorse disponibili (CPU, memoria e spazio su disco) e viene eseguita su un cryptominer XMRig. Gli strumenti di attacco della botnet FaNeL sono stati resi disponibili per altri gruppi di criminali e hacker non professionisti, come prefissi ASN, elenchi di password e script per i test della velocità, solo per citarne alcuni. Alcuni degli attacchi rilevati da Guardicore vengono definiti "umani" a indicare che l'hacker in questione sta ancora provando e valutando il flusso dell'attacco e la sua efficienza.

FritzFrog è un'esclusiva e avanzata botnet P2P che è attiva da gennaio 2020. Violando i server SSH con un attacco di forza bruta, i criminali implementano un complesso malware worm scritto in Golang. Una backdoor sotto forma di chiave pubblica SSH viene aggiunta al file authorized_keys della vittima. Il malware inizia immediatamente ad ascoltare la porta 1234, dove riceve i comandi dai computer collegati in rete. Il malware FritzFrog cerca in ogni modo di eliminare i suoi concorrenti rimuovendo i processi a utilizzo intensivo della CPU sul sistema Linux in cui viene eseguito.

Per ulteriori materiali di lettura, visitate il blog qui.

GhOul è una campagna DDoS rilevata dai sensori di Guardicore a partire da giugno. Tuttavia, questa botnet è stata osservata anche in precedenza, intorno al mese di febbraio. GhOul si diffonde tramite SSH per infettare i sistemi basati syu Linux con malware DDoS. Il malware è basato su Mirai, compilato per varie architetture, ed è simile alle varianti Helios e Hakai (vedere i collegamenti di seguito). Nel suo elenco di comandi C2, figurano i seguenti: "TCP, SYN, ACK, XMAS, STOMP, UDPREG, UDPHEX, UDPRAW, HTTPSTOPM, HTTP, VSE, STD, OVH, STOP, KILL", che sembrano attacchi DDoS sferrati tramite varie protocolli utilizzando diversi formati di payload. La maggior parte degli attacchi rilevati dai sensori di Guardicore ha avuto origine da sistemi OVH, in Francia. I server Command-and-Control, di cui 8 si sono visti durante il periodo attivo della campagna, sono sistemi situati in Germania, in Francia e in Iran. La comunicazione C2 viene stabilita tramite la porta 3333, che è necessaria per ricevere l'elenco degli obiettivi DDoS.

Per ulteriori materiali di lettura, visitate i collegamenti seguenti:

Helios (Security Art Work) | Variante Hakai (Stratosphere IPS)

La campagna di attacchi k8h3d combina un cryptominer Monero e un modulo worm che sfrutta EternalBlue per guadagnare il movimento laterale. Inizialmente, il criminale viola i sistemi della vittima tramite MS-SQL, quindi, crea un nuovo utente denominato "k8h3d" con password "k8d3j9SjfS7" e modifica la password dell'amministratore del sistema MS-SQL con una stringa casuale. Un utente backdoor, una volta creato, viene usato dal criminale per connettere il sistema tramite SMB e rilasciare più file binari e script dannosi, tra cui un dropper, un Trojan horse, un cryptominer Monero e un worm EternalBlue.. I payload dannosi rimangono persistenti mediante l'installazione di attività e servizi pianificati (i cui nomi includono, tra gli altri "Autocheck", "Autoscan", "Bluetooths", "DnsScan", "WebServers" e "Ddriver"). Inoltre, le informazioni di sistema vengono inviate ai server Command-and-Control del criminale, da cui è possibile scaricare ed eseguire ulteriori payload.

Per ulteriori materiali di lettura, visitate il collegamento seguente:

BitDefender

Un esame di un file binario ARM recentemente rilevato ha mostrato l'adattamento della CVE-2021-44228 per infettare e aiutare la proliferazione del malware utilizzato dalla botnet Mirai. Come menzionato nei precedenti blog di Akamai, la CVE-2021-44228 è una vulnerabilità RCE (Remote Code Execution) non autenticata in Log4j.

Questa vulnerabilità influisce su più versioni di Log4j e delle applicazioni che ne dipendono, tra cui Apache Struts2, Apache Solr, Apache Druid, Apache Flink e molte altre. Come menzionato in precedenza, è vivamente consigliato eseguire una patch contro questa vulnerabilità, pertanto Akamai ha implementato set di regole per i clienti per aiutarli a mitigare gli attacchi.

Per ulteriori materiali di lettura, visitate il blog qui.

Si tratta di una campagna di botnet di mining Monero in grado di infettare i sistemi della vittima tramite SSH. Una volta violato un server, un semplice script Bash scarica il payload del cryptominer, un file gzip compresso, che viene decompresso in una nuova cartella, .ssh, con due file: il miner eseguibile (denominato sshd) e una configurazione JSON. In un periodo di sei mesi (fino ad ora), questa campagna ha fruttato ai suoi operatori circa $1200, come osservato nel pool HashVault. 

Sembra che gli operatori abbiano usato un singolo wallet per aggregare le loro valute Monero: 454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk. Gli attacchi alla rete globale di sensori di Guardicore sono stati originati da 6 diversi IP, situati negli Stati Uniti e in Germania. Il numero di incidenti causati dagli attacchi è salito da circa 20 al mese ad oltre 100 incidenti ad aprile.

Nansh0u è una campagna originata dalla Cina con l'intento di infettare i server Windows MS-SQL e phpMyAdmin in tutto il mondo. I sistemi violati hanno incluso oltre 50.000 server che appartengono a varie società operanti nei settori sanitario, telecomunicazioni, media e IT. Una volta violati, i server presi di mira sono stati infettati con payload dannosi, che, a loro volta, hanno rilasciato un crypto-miner e hanno installato un sofisticato rootkit in modalità kernel per prevenire l'eliminazione del malware.

Questa campagna, a differenza di molte altre, non è una botnet di cryptomining. in questo caso, i criminali violano i sistemi della vittima tramite un attacco di forza bruta MySQL, quindi tentano di crittografare il database. Una richiesta di riscatto viene lasciata all'interno di una tabella denominata "WARNING" (AVVISO) con un messaggio in cui,

per recuperare il database perso ed evitarne la divulgazione, si richiede di inviare agli autori del messaggio 0,06 bitcoin (BTC) all'indirizzo 1NdeFcTXpXvUxvWqPP988A4Txcv3LzXmif e scrivere all'indirizzo e-mail recvr19@protonmail.com il nome dominio o l'IP del proprio server e una ricevuta di pagamento. I criminali, inoltre, minacciano la vittima che, in caso di dubbi da parte sua, potranno inviare una prova del fatto che i suoi dati sono in loro possesso. Sempre in questo messaggio, informano la vittima che hanno scaricato e copiato il suo database nei loro server. Pertanto, se non riceveranno il pagamento del riscatto nel giro di 10 giorni, lo renderanno pubblico o ne faranno un altro uso".

Al momento della stesura di questo articolo, sono stati usati più di 30 indirizzi di wallet per bitcoin in richieste di riscatto con un saldo di 0,689 BTC, pari a circa 6250 dollari.

La botnet Smominru e le sue varianti Hexmen e Mykings sono attive dal 2017. L'attacco prevede la violazione di sistemi Windows con un exploit EternalBlue e l'utilizzo della forza bruta su vari servizi, tra cui MS-SQL, RDP, Telnet, ecc. Nella fase della post-infezione, l'attacco ruba le credenziali della vittima, installa un modulo Trojan e un cryptominer, quindi si propaga all'interno della rete.

Uwush (o "Stokers") è una botnet simile alla Mirai. La violazione iniziale viene effettuata tramite SSH, quindi uno script bash denominato "UwUsh" viene scaricato ed eseguito. Lo script scarica un malware con pacchetti UPX denominato "Stokers", che è stato concepito per varie architetture e li esegue tutti, sperando di riuscire nell'intento. Il malware presenta varie funzionalità, la principale delle quali sferra attacchi DDoS tramite vari tipi di pacchetti UDP, HTTP e TCP. Il bot supporta i due comandi "KILLDROPPERS" e "KILLBINS" per eliminare la concorrenza (o forse versioni precedenti del malware). Tra i nomi di malware che compaiono nelle stringhe di Stokers, compaiono i seguenti: Ayedz, DEMONS, Execution, Fierce, Josho, Okami, Owari, Tsunami, apep, chiemi, fortnite, gemini, hoho, kowa, kratos, miori, mips.yakuza, mirai, miraint, shiro, sora, yakuza e z3hir. Ognuno di questi nomi nell'elenco presenta build per varie architetture, come la versione tipica per le botnet simili alla Mirai. Al momento della stesura di questo articolo, tutti gli incidenti hanno scaricato lo script Uwush da un computer con il prefisso 89.42.133.0/24.

Vollgar è una campagna di attacchi di lunga durata che si propone di infettare i sistemi Windows con server MS-SQL. La campagna, la cui origine risale a maggio 2018, utilizza attacchi di forza bruta con password per violare i sistemi delle vittime, impiega più backdoor ed esegue numerosi moduli dannosi, come i RAT (Remote Access Tools) multifunzionali e i cryptominer.

Il 17 agosto 2017, diverse reti per la distribuzione dei contenuti (CDN) e numerosi provider di contenuti sono state oggetto di attacchi importanti da parte di una botnet denominata WireX dall'anagramma di una delle stringhe di delimitazione presenti nel relativo protocollo Command and Control. Composta principalmente da dispositivi Android che eseguono applicazioni dannose, la botnet WireX genera traffico DDoS (Distributed Denial-of-Service) ed è spesso accompagnata da messaggi di richiesta di riscatto.

Per ulteriori materiali di lettura, visitate il blog qui.

Yart7 è una campagna di attacchi DDoS sferrati contro i server SSH. La botnet si diffonde tramite un attacco di forza bruta contro i server SSH. Dopo aver effettuato l'accesso, il criminale si collega al server C&C e scarica un payload dannoso denominato 7rtya, che si adatta all'architettura del sistema della vittima. Una volta eseguito il malware, il sistema violato inizia a inviare i pacchetti DDoS a decine di migliaia di indirizzi IP tramite il protocollo Telnet (porta TCP 23). Fin dall'inizio di questa campagna all'inizio di settembre 2020, sono stati osservati solo tre IP di origine degli attacchi, due dei quali si trovano in Austria. La campagna viene denominata Yart7, che è un anagramma del nome file del malware.

Questo flusso di attacchi noto da tempo risale al 2012. Si tratta fondamentalmente di un dropper (downloader) di altri payload, che riceve il suo URL come parametro. La violazione iniziale viene effettuata tramite MySQL con un attacco di forza bruta. Una volta penetrato nel database, il criminale crea una nuova tabella denominata yongger2 e vi scrive il payload binario del dropper. Il payload viene quindi salvato in un file "cna12.dll" e viene eseguito. Una delle funzioni esportate del file DLL ("xpdl3") viene utilizzata per rilasciare altri payload e per creare un utente backdoor denominato piress. Questa tecnica è stata già ampiamente descritta. Da recenti pubblicazioni, è emerso che il dropper è stato usato per distribuire il ransomware GandCrab.

Per ulteriori materiali di lettura, visitate i collegamenti seguenti:

Riflessioni sul malware | Sophos