Ondata di Attacco “Xbash”

 

Ondata di Attacco “Xbash”

Proto: N030918.

 

Con la presente Yoroi desidera informarLa relativamente ad una nuova pericolosa ondata di attacchi in grado di creare gravi disservizi ai sistemi bersaglio. I cyber attacchi sono originati da una particolare minaccia malware nota come Xbash, potenzialmente legata al gruppo criminale “Iron Group”, la quale presenta caratteristiche di grande virulenza e capacità di autopropagazione cross-piattaforma sia all’interno di sistemi Linux che Windows.

Ricercatori di terze parti hanno individuato varie tipologie di capacità offensive all’interno del codice dell’impianto malevolo, come la capacità di utilizzare exploit per propagarsi sui sistemi sfruttando software vulnerabili presenti al loro interno. Ad esempio Xbash risulta in grado di sfruttare criticità in servizi software come:

  • Hadoop YARN
    • CVE-non-assegnato, vulnerabilità RCE risalente al 2016 nel Resource Manager di Hadoop YARN.
  • Redis
    • CVE-non-assegnato, vulnerabilità risalente al 2015 in grado di permettere scritture arbitrarie ed RCE non autenticati.
  • ActiveMQ
    • CVE-2016-3088, vulnerabilità in grado di permettere scritture arbitrarie sul sistema.

Oltre allo sfruttamento di queste vulnerabilità, l’impianto malware è in grado di effettuare scansioni di rete attive ed effettuare attacchi di tipo bruteforce con credenziali di default sui servizi di rete VNC, Rsync, MySQL, MariaDB, Memcached, PostgreSQL, MongoDB, e phpMyAdmin

La grande pericolosità della minaccia risiede nelle azioni malevole perpetrate a seguito di una propagazione dove, oltre ad installarsi persistentemente sul sistema tramite Cronjob Linux o Windows Startup item, è il grado di:

  • Cancellare i dati all’interno dei database acceduti e richiedere riscatto in bitcoin (Fake Ransomware)
  • Scaricare malware di tipo Trojan/Cryptominer per sfruttare la capacità computazionale dell’host vittima, causando forti rallentamenti (Windows)
  • Scaricare malware di tipo Trojan/Ransomware in grado di rendere inutilizzabili dati e file presenti all’interno della macchina infettata (Windows)

E’ stata inoltre osservata la presenza di capacità di propagazione in rete LAN all’interno del codice della minaccia, tuttavia queste funzionalità risultano disabilitate nelle versioni al momento circolanti.

  
Figura 1, Figura 2. Porzioni di codice dell’impianto malware contenenti routine di cancellazione DB phpMyAdmin e script di propagazione per piattaforme Windows (Source:Unit42)


A questo proposito Yoroi consiglia di verificare lo stato di vulnerabilità e di configurazione di eventuali servizi bersaglio esposti su internet, di pianificare l’installazione degli aggiornamenti e l’applicazione di policy di sicurezza per gli account configurati su di essi. In secondo luogo si suggerisce di estendere le attività di patching anche agli host non direttamente esposti su internet, in quanto future ondate potrebbero includere capacità di propagazione attraverso la rete interna.

Di seguito si riportano gli indicatori di compromissione disponibili:

  • Dropurl:
    • hxxp://3g2upl4pq6kufc4m[.tk/zlibx
    • hxxp://e3sas6tzvehwgpak[.tk/XbashY
    • hxxp://3g2upl4pq6kufc4m[.tk/XbashY
    • hxxp://3g2upl4pq6kufc4m[.tk/xapache
    • hxxp://3g2upl4pq6kufc4m[.tk/libhttpd
    • hxxp://xmr.enjoytopic[.tk/l/rootv2.sh
    • hxxp://xmr.enjoytopic[.tk/l2/rootv2.sh
    • hxxp://xmr.enjoytopic[.tk/l/r88.sh
    • hxxp://xmr.enjoytopic[.tk/12/r88.sh
    • hxxp://e3sas6tzvehwgpak[.tk/lowerv2.sh
    • hxxp://3g2upl4pq6kufc4m[.tk/r88.sh
    • hxxp://e3sas6tzvehwgpak[.tk/XbashY
    • hxxp://e3sas6tzvehwgpak[.tk/XbashX
    • hxxp://png.realtimenews[.tk/m.png
    • hxxp://daknobcq4zal6vbm[.tk/tt.txt
    • hxxp://d3goboxon32grk2l[.tk/reg9.sct
  • C2:
    • hxxps://pastebin[.com/raw/Xu74Mzif
    • hxxps://pastebin[.com/raw/rBHjTZY6
    • ejectrift.censys[.xyz
    • scan.censys[.xyz
    • api.leakingprivacy[.tk
    • news.realnewstime[.xyz
    • scan.realnewstime[.xyz
    • news.realtimenews[.tk
    • scanaan[.tk
    • scan.3g2upl4pq6kufc4m[.tk
    • scan.vfk2k5s5tfjr27tz[.tk
    • scan.blockbitcoin[.tk
    • blockbitcoin[.com
    • 142.44.215[.177
    • 144.217.61[.147
  • Ransom:
    • Wallet Addresses
      • 1Kss6v4eSUgP4WrYtfYGZGDoRsf74M7CMr
      • 1jqpmcLygJdH8fN7BCk2cwwNBRWqMZqL1
      • 1ExbdpvKJ6M1t5KyiZbnzsdQ63SEsY6Bff
    • Email Addresses
      • backupsql@protonmail[.com
      • backupsql@pm[.me
      • backupdatabase@pm[.me
  • Hash:
    • 7a18c7bdf0c504832c8552766dcfe0ba33dd5493daa3d9dbe9c985c1ce36e5aa
    • 0b9c54692d25f68ede1de47d4206ec3cd2e5836e368794eccb3daa632334c641
    • dbc380cbfb1536dfb24ef460ce18bccdae549b4585ba713b5228c23924385e54
    • 5b790f02bdb26b6b6b270a5669311b4f231d17872aafb237b7e87b6bbb57426d
    • e59be6eec9629d376a8a4a70fe9f8f3eec7b0919019f819d44b9bdd1c429277c
    • f808a42b10cf55603389945a549ce45edc6a04562196d14f7489af04688f12bc
    • dcd37e5b266cc0cd3fab73caa63b218f5b92e9bd5b25cf1cacf1afdb0d8e76ff
    • de63ce4a42f06a5903b9daa62b67fcfbdeca05beb574f966370a6ae7fd21190d
    • 09968c4573580398b3269577ced28090eae4a7c326c1a0ec546761c623625885
    • a27acc07844bb751ac33f5df569fd949d8b61dba26eb5447482d90243fc739af
    • f888dda9ca1876eba12ffb55a7a993bd1f5a622a30045a675da4955ede3e4cb8
    • 31155bf8c85c6c6193842b8d09bda88990d710db9f70efe85c421f1484f0ee78
    • 725efd0f5310763bc5375e7b72dbb2e883ad90ec32d6177c578a1c04c1b62054
    • d7fbd2a4db44d86b4cf5fa4202203dacfefd6ffca6a0615dca5bc2a200ad56b6
    • ece3cfdb75aaabc570bf38af6f4653f73101c1641ce78a4bb146e62d9ac0cd50

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index