Discussione News Diffusione del malware Chaos

Stato
Discussione chiusa ad ulteriori risposte.

Not an engineer

Moderatore
31 Ottobre 2011
2,549
100
1,144
1,089
malware.jpg


1    Descrizione


Ricercatori di sicurezza hanno recentemente rilevato la distribuzione di un nuovo malware, denominato Chaos, volto a compromettere i server Windows e Linux al fine di inserirli in una botnet per post-exploitation.

Nel dettaglio, il codice malevolo sarebbe in grado di propagarsi - all’interno delle reti target - tramite lo sfruttamento di CVE (CVE-2017-17215, CVE-2022-30525) e di usare chiavi SSH precedentemente sottratte o ottenute a seguito di attacchi di tipo brute-force.

CVE-2017-17215 | Firewall Huawei
CVE-2022-30525 | Prodotti Zyxel




2    Impatti


In base alle analisi svolte, il malware, di tipo modulare e scritto in Go, sarebbe in grado di

  • Comunicare con il server di comando and controllo
  • Enumerare l'ambiente host
  • Eseguire comandi shell remoti
  • Caricare moduli aggiuntivi
  • Effettuare movimenti laterali all'interno della rete
  • Condurre attacchi Deniel of Service (DDos)
  • Minare criptovalute



3    Mitigazione


Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi attivando le seguenti misure aggiuntive

  • Mantenere i sistemi e i dispositivi aggiornati
  • Non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete internet;
  • Permettere il raggiungimento della risorsa, all’interno di una rete, unicamente agli amministratori di sistema o comunque al personale autorizzato (ad esempio mediante segmentazione)
  • Utilizzare opportuni sistemi di accesso remoto sicuri - come servizi VPN - per esporre servizi non strettamente essenziali sulla rete.
  • Utilizzare le best practice per la gestione degli accessi (IAM), implementando meccanismi di autenticazione a più fattori (MFA), prevedendo l’adozione di password complesse e adottando il principio del privilegio minimo (least privilege)
 
Stato
Discussione chiusa ad ulteriori risposte.