Una nuova campagna dannosa diffonde backdoor Windows e Linux

 

 

Telsy ha analizzato una nuova campagna malevola che diffonde backdoor Linux e Windows.

 Introduzione

Questo tipo di campagna inizia sfruttando vulnerabilità note relative alle tecnologie target, per poi effettuare un lateral movement caricando una web shell.

Gli aggressori si stanno adattando alla rapida evoluzione dell’infrastruttura IT dei propri obiettivi, portando strumenti esistenti in Windows su Linux o sviluppando nuovi strumenti che supportano entrambe le piattaforme.

Sfortunatamente, la campagna non ha prove sufficienti per essere attribuita ad uno specifico attore. Tuttavia, mostra un continuo attacco alla supply-chain e quindi ai fornitori di servizi di terze parti, mostrando interesse per i dati relativi alle Personally Identifiable Information (PII).

Entrambe le backdoor, Windows e Linux, hanno lo scopo di fornire al Command and Control (C2) l’accesso al sistema tramite revere shell.

L’IP e la porta del C2 vengono recuperati dinamicamente analizzando la risposta ottenuta da una richiesta HTTP al Command & Control firt-stage.

La backdoor per Linux è sviluppata in “Linguaggio di Programmazione C” e fa uso di system calls, mentre la backdoor per Windows è sviluppata in “Golang” ed è offuscata con UPX.

È probabile che i successivi sviluppi del malware possano portare a un unico codice compilabile per entrambi i sistemi operativi.

Leggi il report completo a questo link

A questo link gli ultimi articoli del blog di Telsy:

 

 

Telsy Cyber Threat Intelligence TeamVedi tutti gli articoli

Il team "Cyber Threat Intelligence" di Telsy è formato da professionisti con oltre dieci anni di esperienza nel campo della sicurezza informatica. Al suo interno ci sono figure professionali con diverse capacità, acquisite in contesti come Red Team, Cyber Threat Intelligence, Incident Response, Malware Analysis, Threat Hunting. Il principale obiettivo del Team è la raccolta e l'analisi di informazioni al fine di caratterizzare possibili minacce cyber, in relazione a contesti operativi specifici. Tale attività consente di avere una knowledgebase degli avversari comprensiva delle loro Tecniche Tattiche e Procedure (TTP), dei loro principali target nonché l'impatto che potrebbero avere sul business dei clienti Telsy.

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: