I ricercatori di Akamai Security Research hanno recentemente osservato un nuovo malware che ha infettato il loro honeypot e che è stato diffuso contro organizzazioni operanti in vari settori, tra i quali high-tech, giochi e automobilistico di lusso.

Soprannominato dai ricercatori KmsdBot, il malware è scritto in Golang (Go) e mira a compromettere i sistemi con architetture winx86arm64mips64 x86_64, al fine di inserirli in una botnet per future attività di post-exploitation, quali la perpetrazione di attacchi di tipo Distribuited Denial-of-Service (DDoS) e/o il mining di criptovalute.

La botnet infetta i sistemi tramite una connessione SSH che utilizza credenziali di accesso deboli e attacca utilizzando UDP, TCP, HTTP POST e GET, insieme a un’infrastruttura di comando e controllo (C2), che comunica su TCP.

Nel dettaglio, KmsdBot prende il nome dall’eseguibile “kmsd.exe” che, una volta prelevato da una risorsa remota e avviato, sarebbe in grado di:

  • infettare dispositivi tramite lo sfruttamento di credenziali SSH deboli;
  • comunicare con il server di Comando and Controllo (C&C), tramite il protocollo TCP;
  • aggiornare il proprio codice;
  • adottare tecniche evasive, tra le quali la peculiarità di non ottenere la persistenza sul sistema, al fine di non essere rilevato dai meccanismi di sicurezza;
  • effettuare attività di scansione la rete alla ricerca di host vulnerabili;
  • avviare e interrompere a comando il processo di mining di criptovaluta;
  • utilizzare i protocolli UDP e TCP, con richieste di tipo GET e POST, per le comunicazioni;
  • perpetrare attacchi DDoS.

Questo malware non rimane persistente sul sistema infetto per eludere il rilevamento. Ha vari obiettivi, tra cui l’industria dei giochi, l’industria tecnologica e le case automobilistiche di lusso. Inoltre, la botnet ha la capacità di estrarre criptovalute.

Gli esperti del CSIRT hanno consigliato le seguenti azioni di mitigazione che gli utenti e le organizzazioni possono attivare per far fronte a questa tipologia di attacchi:

  • mantenere i sistemi e i dispositivi costantemente aggiornati;
  • non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete internet;
  • permettere il raggiungimento della risorsa, all’interno di una rete, unicamente agli amministratori di sistema o comunque al personale autorizzato (ad esempio mediante segmentazione);
  • utilizzare l’autenticazione mediante crittografia a chiave pubblica per le connessioni di tipo SSH;
  • utilizzare opportuni sistemi di accesso remoto sicuri – come servizi VPN – per esporre servizi non strettamente essenziali sulla rete;
  • utilizzare le best practice per la gestione degli accessi (IAM), implementando meccanismi di autenticazione a più fattori (MFA), prevedendo l’adozione di password complesse e adottando il principio del privilegio minimo (least privilege).

Si consiglia inoltre di valutare l’implementazione sui propri apparati di sicurezza degli Indicatori di Compromissione (IoC) forniti dal CSIRT.

“Questa botnet è un ottimo esempio della complessità della sicurezza e di quanto si evolve. Quello che sembra essere iniziato come un bot per un’app di gioco si è trasformato nell’attacco a grandi marchi di lusso. La novità è il modo in cui infetta, tramite una connessione SSH che utilizza credenziali di accesso deboli. La buona notizia è che le stesse tecniche che raccomandiamo per proteggere i sistemi e le reti della maggior parte delle organizzazioni si applicano ancora qui”, conclude Akamai.

 

https://www.csirt.gov.it/contenuti/nuova-botnet-denominata-kmsdbot-al01-221115-csirt-ita

https://www.akamai.com/blog/security-research/kmdsbot-the-attack-and-mine-malware

Twitter
Visit Us
LinkedIn
Share
YOUTUBE