Telsy ha analizzato una nuova campagna malevola che diffonde backdoor Linux e Windows.

 Introduzione

Questo tipo di campagna inizia sfruttando vulnerabilità note relative alle tecnologie target, per poi effettuare un lateral movement caricando una web shell.

Gli aggressori si stanno adattando alla rapida evoluzione dell’infrastruttura IT dei propri obiettivi, portando strumenti esistenti in Windows su Linux o sviluppando nuovi strumenti che supportano entrambe le piattaforme.

Sfortunatamente, la campagna non ha prove sufficienti per essere attribuita ad uno specifico attore. Tuttavia, mostra un continuo attacco alla supply-chain e quindi ai fornitori di servizi di terze parti, mostrando interesse per i dati relativi alle Personally Identifiable Information (PII).

Entrambe le backdoor, Windows e Linux, hanno lo scopo di fornire al Command and Control (C2) l’accesso al sistema tramite revere shell.

L’IP e la porta del C2 vengono recuperati dinamicamente analizzando la risposta ottenuta da una richiesta HTTP al Command & Control firt-stage.

La backdoor per Linux è sviluppata in “Linguaggio di Programmazione C” e fa uso di system calls, mentre la backdoor per Windows è sviluppata in “Golang” ed è offuscata con UPX.

È probabile che i successivi sviluppi del malware possano portare a un unico codice compilabile per entrambi i sistemi operativi.

Leggi il report completo a questo link

A questo link gli ultimi articoli del blog di Telsy: