Aggiornamenti recenti Dicembre 18th, 2024 11:13 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Operazione BadBox fermata in Germania grazie a una sinkhole
- Glutton, la backdoor che colpisce anche i cybercriminali
- ESET Threat Report: Formbook è leader tra gli infostealer
- L’importanza dei continui test offensivi per la cybersecurity
- CERT-AGID 6 – 13 dicembre: 416.000 record diffusi online
Glutton, la backdoor che colpisce anche i cybercriminali
I ricercatori della compagnia di sicurezza XLab hanno scoperto Glutton, una backdoor in PHP che colpisce non solo aziende e organizzazioni, ma anche altri cybercriminali.
Il team di XLab ha individuato le prime attività della backdoor lo scorso aprile, scoprendo una serie di payload PHP malevoli altamente modulari, in grado di eseguire in maniera indipendente o integrandosi tra di loro. “Questa analisi ha portato alla scoperta di un’avanzata backdoor in PHP mai documentata prima che abbiamo chiamato Glutton per via della sua capacità di infettare numerosi file PHP e innestare l0ader_shell” spiegano i ricercatori.
La backdoor è in grado di esfiltrare informazioni quali la versione dell’OS e di PHP e i dati sensibili di Baota Panel. Glutton è inoltre in grado di installare una backdoor di Winnti ELF-based e altre backdoor in PHP, oltre che iniettare codice in framework PHP popolari come Baota, ThinkPHP, Yii e Laravel.
Analisi di Glutton
La backdoor è composta da numerosi componenti che, come anticipato, possono eseguire funzioni in autonomia o essere composte per creare un framework più complesso. “Questo design modulare non solo migliora l’adattabilità degli attacchi, ma lo rende anche più difficile da individuare e tacciare durante le attività di difesa” spiega il team di XLab.
Secondo i ricercatori di sicurezza, per distribuire il framework gli attaccanti sfruttano vulnerabilità dei sistemi, password ottenute da tecniche di brute-force e sfruttando sistemi già compromessi dell’ambiente cybercriminale.
Uno dei moduli più importanti è client_task: esso è in grado di eseguire una backdoor PHP ed eseguire periodicamente la funzione fetch_task per ottenere ed eseguire altri payload. Il modulo supporta 22 comandi diversi che comprendono funzioni per l’upload e il download di file, per creare, leggere o modificare file e per scansionare le cartelle dei metadati.
Un altro modulo centrale è il task_loader, la cui funzione primaria è di scaricare ed eseguire il payload specifico in base alle caratteristiche del sistema. A questo si aggiunge init_task, il modulo che scarica ed esegue la backdoor Winnti e infetta i pannelli Baota e i file PHP, e il client_loader, un modulo refattorizzato di init_task, il quale introduce la capacità di scaricare ed eseguire un client backdoored per la compatibilità cross-platform e l’evasione dei controlli degli antivirus.
Una backdoor colpisce anche i cybercriminali
Le vittime di Glutton si trovano principalmente in Cina e negli Stati Uniti e appartengono a settori quali i servizi IT, le business operation e le organizzazioni per la sicurezza sociale.
Ciò che stupisce è che la backdoor colpisce anche sistemi venduti nel mercato cybercriminale, con l’obiettivo di trasformare gli altri attaccanti in “pedine” da usare per i loro scopi. Secondo XLab, il team dietro Glutton userebbe la backdoor per sfruttare i sistemi cybercriminali e ottenere ancora più informazioni.
Nel dettaglio, il gruppo inietta la backdoor nei software venduti sui forum cybercriminali, solitamente false piattaforme di scommesse o di scambio di criptovalute. Una volta infettati questi sistemi, Glutton esegue il tool “HackBrowserData” per estrarre informazioni sensibili dai browser dei criminali stessi.
Anche se XLab ha confermato la veridicità della backdoor Winnti usata da Glutton, non è detto che il nuovo malware sia attribuibile al gruppo: la nuova backdoor è implementata in maniera molto semplificata e i meccanismi di offuscamento non sono robusti come quelli usati dal gruppo. “Mentre il meccanismo di distribuzione di Glutton è molto simile a quello del gruppo Winnti, manca di furtività e l’implementazione semplicistica introduce incertezza” spiegano i ricercatori. XLab attribuisce comunque con “moderata confidenza” il tool al gruppo cinese.
Per eliminare possibili infezioni di Glutton, il team di XLab consiglia di analizzare i file PHP per verificare la presenza di l0ader_shell, rimuovere i processi malevoli individuati e rafforzare la protezione delle cartelle temporanee creando un file .donot in /tmp per prevenire l’exploit.
Condividi l'articolo
Operazione BadBox fermata in Germania grazie a una sinkhole
ESET Threat Report: Formbook è leader tra gli infostealer
Articoli correlati
Altro in questa categoria
Approfondimenti
-
ESET Threat Report: Formbook è leader tra gli infostealer ESET ha pubblicato l’ultimo Threat Report, analisi... -
L’importanza dei continui test offensivi per la... Nel moderno panorama di minacce informatiche, aspettare di... -
In Cina fiorisce il mercato nero dei dati personali In Cina scoppia il mercato nero dei dati sensibili: oltre a... -
Privacy web: Google si conferma lo strumento di... Quali strumenti vengono usati in Italia per tracciare gli... -
CyberVolk: la ricerca di SentinelLabs sul gruppo... Sempre più gruppi hacker stanno sfruttando gli eventi...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Operazione BadBox fermata in Germania grazie a una sinkhole La Germania compie un passo significativo nella lotta al... -
ESET Threat Report: Formbook è leader tra gli infostealer ESET ha pubblicato l’ultimo Threat Report, analisi...
-
L’importanza dei continui test offensivi per la... Nel moderno panorama di minacce informatiche, aspettare di...
-
CERT-AGID 6 – 13 dicembre: 416.000 record diffusi online Nel corso della settimana, il CERT-AGID ha identificato e... -
Un gruppo di ricercatori ha violato l’MFA di... Il team di sicurezza di Oasis ha scoperto una...
Ransomware: la serie
No posts found.
