Una nuova minaccia Xbash colpisce l’Europa

Importante novità in campo “Corporate Security”  relativamente ad una nuova pericolosa ondata di attacchi in grado di creare gravi disservizi ai sistemi bersaglio.

I cyber attacchi sono originati da una particolare minaccia malware nota come “Xbash”, potenzialmente legata al gruppo criminale “Iron Group”, la quale presenta caratteristiche di grande virulenza e capacità di autopropagazione cross-piattaforma sia all’interno di sistemi Linux che Windows.

Ricercatori di terze parti hanno individuato varie tipologie di capacità offensive all’interno del codice dell’impianto malevolo, come la capacità di utilizzare exploit per propagarsi sui sistemi sfruttando software vulnerabili presenti al loro interno. Ad esempio Xbash risulta in grado di sfruttare criticità in servizi software come:

  • “Hadoop YARN”  ( vulnerabilità RCE risalente al 2016 nel Resource Manager di Hadoop YARN) ;
  •  “Redis”  ( vulnerabilità risalente al 2015 in grado di permettere scritture arbitrarie ed RCE non autenticati );
  • “ActiveMQ” (vulnerabilità in grado di permettere scritture arbitrarie sul sistema)

Oltre allo sfruttamento di queste vulnerabilità, l’impianto malware è in grado di effettuare scansioni di rete attive ed effettuare attacchi di tipo bruteforce con credenziali di default sui servizi di rete VNC, Rsync, MySQL, MariaDB, Memcached, PostgreSQL, MongoDB, e phpMyAdmin.

La grande pericolosità della minaccia risiede nelle azioni malevole perpetrate a seguito di una propagazione dove, oltre ad installarsi persistentemente sul sistema tramite Cronjob Linux o Windows Startup item, è il grado di:

  • Cancellare i dati all’interno dei database acceduti e richiedere riscatto in bitcoin (Fake Ransomware)
  •  Scaricare malware di tipo Trojan/Cryptominer per sfruttare la capacità computazionale dell’host vittima, causando forti rallentamenti (Windows)
  •  Scaricare malware di tipo Trojan/Ransomware in grado di rendere inutilizzabili dati e file presenti all’interno della macchina infettata (Windows)

E’ stata inoltre osservata la presenza di capacità di propagazione in rete LAN all’interno del codice della minaccia, tuttavia queste funzionalità risultano disabilitate nelle versioni al momento circolanti.

 

Porzione di Codice

Consiglio vivamente di verificare lo stato di vulnerabilità e di configurazione di eventuali servizi bersaglio esposti su internet, di pianificare l’installazione degli aggiornamenti e l’applicazione di policy di sicurezza per gli account configurati su di essi. In secondo luogo si suggerisce di estendere le attività di patching anche agli host non direttamente esposti su internet, in quanto future ondate potrebbero includere capacità di propagazione attraverso la rete interna.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *