Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La botnet C0XMO Gafgyt rappresenta una nuova evoluzione del malware IoT analizzato da Fortinet. Il codice sfrutta la vulnerabilità CVE-2021-27137 nei router DD-WRT per ottenere esecuzione remota e diffondersi su architetture diverse, da ARM a x86_64. Una volta attivo, scarica moduli Python, esegue scansioni di rete e forza credenziali SSH/Telnet. Con tecniche di persistenza e capacità di eliminare concorrenti, la botnet viene utilizzata per attacchi DDoS multi-vettore contro infrastrutture globali.
I ricercatori di Fortinet hanno messo in guardia di una nuova variante della botnet Gafgyt, denominata C0XMO. Il malware prende di mira i router con firmware DD-WRT, ma i ricercatori hanno identificato anche versioni per architetture ARM, MIPS, PowerPC, SuperH, x86, x86_64 e altre.
Secondo gli esperti, la caratteristica principale di C0XMO è la sua architettura modulare, che consente agli operatori del malware di aggiornare i meccanismi di sfruttamento delle vulnerabilità, aggiungere il supporto per nuove architetture ed espandere le capacità del malware senza modificarne il payload principale.
Come altri membri della famiglia Gafgyt, la nuova botnet è progettata per condurre attacchi DDoS. L’arsenale del malware comprende 19 metodi diversi, tra cui flooding UDP, TCP, SYN e ICMP, Ping of Death, attacchi di amplificazione NTP e Memcached e diverse tecniche specifiche che prendono di mira Discord e i servizi di gioco di Valve. Secondo gli esperti, questa botnet è stata recentemente utilizzata in attacchi contro un’azienda tecnologica giapponese non specificata.
Per infettare i router, il malware sfrutta una vecchia vulnerabilità, si parla del CVE-2021-27137, presente nel firmware DD-WRT. Questo bug consente lo sfruttamento di un buffer overflow dovuto a una gestione impropria dell’input dell’utente, che consente l’esecuzione di codice arbitrario senza autenticazione.
Se un dispositivo viene compromesso con successo, C0XMO scarica uno script Python che installa librerie aggiuntive necessarie per la scansione di rete e il funzionamento tramite SSH e Telnet. Il malware inizia quindi a cercare nuove vittime, esplorando Internet e controllando le porte più comuni (tra cui 22, 23, 80, 443, 7547, 8080, 8443 e 8888).
Se viene individuato un obiettivo idoneo, C0XMO tenta di forzare le credenziali SSH o Telnet, determina l’architettura e scarica il binario corrispondente. I ricercatori osservano che lo script implementa circa venti funzioni per individuare e sfruttare vari bug, determinare l’architettura e verificare la disponibilità dei nodi.
Per infiltrarsi nel sistema, il malware si copia in directory nascoste (come /tmp/.sys, /var/tmp/.sys e /dev/shm/.sys), quindi crea processi cron che riavviano il processo ogni 15 minuti. Inoltre, il malware modifica gli script di shell di avvio per eseguirli automaticamente dopo ogni riavvio del sistema.
Un’altra caratteristica di C0XMO è la sua capacità di contrastare la concorrenza. Dopo aver infettato un dispositivo, il malware analizza l’elenco dei processi in esecuzione, alla ricerca di client di altre botnet, strumenti di penetration testing e servizi che potrebbero interferire con il suo funzionamento. Tutti i processi trovati vengono terminati e i relativi file binari e meccanismi di persistenza vengono distrutti.
Il malware si connette quindi al server di comando e controllo utilizzando un indirizzo predefinito e un meccanismo di autenticazione a più fattori, dopodiché entra in modalità di comando e controllo. Gli operatori di C0XMO possono avviare nuove scansioni, controllare i sistemi infetti e condurre attacchi DDoS utilizzando qualsiasi metodo disponibile.
Fortinet osserva che, rispetto alle botnet IoT del passato, l’architettura di C0XMO appare più matura e sofisticata, distinguendosi dagli altri membri della famiglia Gafgyt.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]