È allarme per una nuova e pericolosa variante del malware di coin mining Rocke che si sta rapidamente diffondendo e che, secondo i ricercatori della Unit 42 di Palo Alto Networks che lo hanno identificato e analizzato, utilizza un codice malevolo in grado di disabilitare cinque diversi prodotti di protezione e monitoraggio della sicurezza in-the-cloud da server Linux compromessi.
Si tratta, quindi, della prima famiglia di malware ad aver sviluppato la funzionalità unica di identificare e rimuovere prodotti di cloud security, rappresentando una nuova sfida per i prodotti nel mercato delle cosiddette Cloud Workload Protection Platforms.
L’analisi dei nuovi campioni di codice malevolo hanno rilevato notevoli somiglianze con quelli già utilizzati dai cyber criminali dell’Iron Group (alias Rocke) famosi per aver sferrato, lo scorso mese di settembre, una serie di pesanti attacchi informatici ai server Windows e Linux mediante il malware Xbash.
Il threat actor Rocke è stato svelato inizialmente ad agosto del 2018 mettendo in luce molti comportamenti particolari, ma da ottobre 2018 i server di Command and Control (C&C) utilizzati dal malware per ricevere istruzioni dai suoi creatori sono stati chiusi. I nuovi sample malevoli di Rocke utilizzano un nuovo codice malevolo in grado, appunto, di eludere e disattivare alcuni prodotti e servizi di cloud security: in particolare, si tratta di prodotti sviluppati da Tencent Cloud e Alibaba Cloud (Aliyun), i due principali cloud provider cinesi che stanno espandendo il loro business su scala globale; ma secondo i ricercatori, i criminal hacker potrebbero prendere di mira anche altre soluzioni di sicurezza come quelle offerte da Microsoft, Symantec e Trend Micro.
L’analisi dei ricercatori della Unit 42 ha evidenziato, inoltre, che gli attacchi identificati finora non hanno compromesso direttamente questi prodotti di sicurezza: piuttosto, i cyber criminali sono riusciti a ottenere il pieno controllo sugli host protetti da queste soluzioni cloud e hanno poi sfruttato questo controllo completo per disinstallarli, operando esattamente come avrebbe fatto un amministratore di sistema.
Indice degli argomenti
Rocke: analisi tecnica del malware di coin mining
Per consegnare la nuova variante del malware alle macchine della vittima, i cyber criminali sfruttano alcune vulnerabilità di Apache Struts 2, Oracle WebLogic e Adobe ColdFusion. Ad esempio, sfruttando la vulnerabilità di Oracle WebLogic CVE-2017-10271, i cyber criminali riescono a scaricare su una macchina Linux compromessa la backdoor identificata come 0720.bin e ad aprire una shell dei comandi.
Il malware, a quel punto, stabilisce una connessione col server C&C e scarica sulla macchina vittima una copia di uno script shell denominato “a7” che utilizza per compiere alcune azioni malevoli ben precise:
- ottiene la persistenza nel sistema infetto mediante il modulo cronjobs;
- killa altri processi di crypto mining;
- aggiunge nuove regole al file iptables per bloccare altri malware di crypto mining;
- disinstalla i prodotti di sicurezza in-the-cloud;
- scarica ed esegue il pacchetto UPX di coin miner dall’indirizzo blog[.]sydwzl[.]cn;
- nasconde i suoi processi malevoli ad un eventuale controllo con il comando ps di Linux utilizzando il tool open source “libprocesshider”;
- regola il date/time del file dannoso.
Il malware si evolve per eludere le soluzioni di cloud security
Oltre alla particolarità dei comandi utilizzati nella sua catena infettiva, Rocke si distingue da tutte le altre minacce analizzate finora per essere riuscito a sviluppare gradualmente la capacità di eludere il rilevamento da parte delle soluzioni di sicurezza cloud-based prima di rivelare i suoi comportamenti dannosi.
Capacità non da poco se si considera che, ad esempio, i prodotti Tencent Cloud utilizzano funzioni di sicurezza chiave come il rilevamento e la rimozione dei trojan basati su evolute tecniche di machine learnig, l’avviso di password cracking, l’audit delle attività di logging, la gestione delle vulnerabilità e la gestione delle risorse; mentre la soluzione offerta da Alibaba effettua un’analisi delle minacce basandosi sui big data.
Nella sua prima versione, il malware Rocke tentava solo di killare i processi di monitoring delle soluzioni cloud-based. Ma questo ovviamente non gli bastava per passare inosservato ai controlli di sicurezza. I criminal hacker creatori del malware hanno quindi continuato a sviluppare metodi più efficaci per eluderne il rilevamento terminando il maggior numero di servizi possibile. E per farlo, hanno sfruttato non solo i documenti tecnici forniti agli amministratori di sistema direttamente dai produttori delle soluzioni di sicurezza, ma anche i consigli e le soluzioni condivise dagli utenti su alcuni blog specializzati.
Un’evoluzione delle minacce cyber davvero preoccupante, come raccontano al nostro sito gli esperti interpellati in merito, che suggeriscono anche alcune soluzioni per mettere al sicuro il perimetro di sicurezza aziendale.
“Avevamo già segnalato e indicato che i nuovi malware saranno sempre più di tipo adattivo ed evasivo (vedi KingMiner)” ci dice Pierguido Iezzi, Swascan Cybersecurity Strategy Director e Co Founder. “Stiamo parlando di un nuovo periodo storico che non sarà focalizzato a identificare nuove vulnerabilità o nuovi strumenti di hacking, ma l’attenzione sarà quella di adattare ed integrare, nei “vecchi” e noti strumenti, soluzioni o script che possano garantire l’invisibilità alle misure di security detection in essere. Lo stesso Rocke è di fatto una evoluzione del noto malware XBash che era stato identificato più di un anno fa”.
“La particolarità di questo malware”, continua Iezzi, “è la capacità di prendere il possesso dei sistemi di sicurezza e di gestirli come se fosse un amministratore legittimo. Nel caso in questione di fatto disabilita i sistemi di controllo. Se KingMiner era la premessa dei nuovi malware di Intelligenza Artificiale, Rocke Malware è invece a tutti gli effetti parte integrante delle nuove tecniche di AI Cyber Attack. Una tecnica di attacco molto più semplice ed efficace di quelle tradizionali. Viene disabilitato il sistema di allarme per poi entrare indisturbati. Semplice, veloce e indolore. L’intelligenza artificiale è sicuramente una grande opportunità ma non possiamo dimenticare che è anche una seria minaccia. Due elementi che spesso vanno ad annullarsi a vicenda nel tempo. L’analisi del rischio e la sicurezza preventiva rimangono il caposaldo per una corretta gestione del security framework aziendale”.
Secondo Andrea Argentin, Sales Engineer Manager, Italy & Iberia di CyberArk, “risulta strano che un software di endpoint security permetta la disinstallazione in autonomia da parte dell’utente, fosse anche un amministratore, in quanto solitamente è necessario autorizzare dalla console di gestione. Come al solito vale lo stesso discorso: protezione a layer, considerando anche il patching come il punto 0 da cui partire. Purtroppo accade sempre più spesso che, una volta entrato, per l’attaccante spostarsi sulle altre macchine risulta fin troppo facile: local admin uguali ovunque e utenze admin che si loggano a caso sui sistemi lasciando hash. L’approccio migliore per la security consiste nel considerare la minaccia già all’interno dell’ambiente. Il malware è semplicemente il mezzo che consente all’attaccante di entrare e, una volta dentro, essere uguale a tutti gli altri amministratori”.
Diego Gagliardo, COO Endian, ci fa invece notare come “il modus operandi di questo malware conferma l’importanza della sicurezza perimetrale offerta da sistemi separati e dedicati alla cyber security in aggiunta ad antivirus (o come in questo caso ad agenti) installati sui sistemi operativi dei nostri server/workstation. Limitare e filtrare le connessioni può prevenire gli effetti di un malware: in questo caso il codice malevolo sfrutta una vulnerabilità del server per installarsi e la presenza di un IPS/firewall perimetrale avrebbe impedito il download dello shell script e di conseguenza l’esecuzione dell’intera attività dannosa”.
Ecco come riconoscere l’infezione del malware Rocke
Al momento, non sono state ancora rese disponibili soluzioni efficaci per la protezione da questa nuova variante del malware Rocke. I ricercatori della Unit 42 di Palo Alto Networks stanno comunque collaborando con i fornitori di soluzioni di sicurezza cloud-based per identificare e bloccare gli attuali domini utilizzati dal malware per comunicare con i server di Command and Control:
- dwn[.]rundll32[.]ml
- www[.]aybc[.]so
- a[.]ssvs[.]space
- sydwzl[.]cn
Per identificare il malware, inoltre, è possibile utilizzare i seguenti indici di compromissione (IoC):
Chiavi SHA256:
- 2e3e8f980fde5757248e1c72ab8857eb2aea9ef4a37517261a1b013e3dc9e3c4
- 2f603054dda69c2ac1e49c916ea4a4b1ae6961ec3c01d65f16929d445a564355
- 28ea5d2e44538cd7fec11a28cce7c86fe208b2e8f53d57bf8a18957adb90c5ab
- 232c771f38da79d5b8f7c6c57ddb4f7a8d6d44f8bca41be4407ed4923096c700
- 893bdc6b7d2d7134b1ceb5445dbb97ad9c731a427490d59f6858a835525d8417
- 9300f1aa56a73887d05672bfb9862bd786230142c949732c208e5e019d14f83a
- 27611b92d31289d023d962d3eb7c6abd194dbdbbe4e6977c42d94883553841e8
- d341e3a9133e534ca35d5ccc54b8a79f93ff0c917790e7d5f73fedaa480a6b93
- ed038e9ea922af9f0bf5e8be42b394650fa808982d5d555e6c50c715ff2cca0c
- 4b74c4d66387c70658238ac5ab392e2fe5557f98fe09eadda9259ada0d87c0f1
- e391963f496ba056e9a9f750cbd28ca7a08ac4cfc434bee4fc57a292b11941e6
- 017dee32e287f37a82cf6e249f8a85b5c9d4f090e5452118ccacaf147e88dc66
Indirizzi IP per la comunicazione con i server C&C
- 118.24.150[.]172 (Tencent Cloud)
- 120.55.54[.]65 (Alibaba Cloud)
URL per il download del codice malevolo aggiornato
- hxxps://pastebin[.]com/raw/CnPtQ2tM
- hxxps://pastebin[.]com/raw/rjPGgXQE
- hxxps://pastebin[.]com/raw/1NtRkBc3
- hxxps://pastebin[.]com/raw/tRxfvbYN
- hxxps://pastebin[.]com/raw/SSCy7mY7
- hxxps://pastebin[.]com/raw/VVt27LeH
- hxxps://pastebin[.]com/raw/Fj2YdETv
- hxxps://pastebin[.]com/raw/JNPewK6r
- hxxps://pastebin[.]com/raw/TzBeq3AM
- hxxps://pastebin[.]com/raw/eRkrSQfE
- hxxps://pastebin[.]com/raw/5bjpjvLP
- hxxps://pastebin[.]com/raw/Gw7mywhC
