Una nuova campagna dannosa diffonde backdoor Windows e Linux

Telsy ha analizzato una nuova campagna malevola che diffonde backdoor Linux e Windows.

Introduzione

Questo tipo di campagna inizia sfruttando vulnerabilità note relative alle tecnologie target, per poi effettuare un lateral movement caricando una web shell.

Gli aggressori si stanno adattando alla rapida evoluzione dell’infrastruttura IT dei propri obiettivi, portando strumenti esistenti in Windows su Linux o sviluppando nuovi strumenti che supportano entrambe le piattaforme.

Sfortunatamente, la campagna non ha prove sufficienti per essere attribuita ad uno specifico attore.

Tuttavia, mostra un continuo attacco alla supply-chain e quindi ai fornitori di servizi di terze parti, mostrando interesse per i dati relativi alle Personally Identifiable Information (PII).

Entrambe le backdoor, Windows e Linux, hanno lo scopo di fornire al Command and Control (C2) l’accesso al sistema tramite revere shell.

L’IP e la porta del C2 vengono recuperati dinamicamente analizzando la risposta ottenuta da una richiesta HTTP al Command & Control firt-stage.

La backdoor per Linux è sviluppata in “Linguaggio di Programmazione C” e fa uso di system calls, mentre la backdoor per Windows è sviluppata in “Golang” ed è offuscata con UPX.

È probabile che i successivi sviluppi del malware possano portare a un unico codice compilabile per entrambi i sistemi operativi.

Compila il form per scaricare il report completo

Leggi gli altri report cyber sul nostro blog.

Questo report è stato prodotto dal team “Cyber ​​Threat Intelligence” di Telsy con l’aiuto della sua piattaforma CTI, che consente di analizzare e rimanere aggiornati su avversari e minacce che potrebbero avere un impatto sul business dei clienti.