Redazione RHC : 31 Luglio 2022 07:00
Gli analisti di Intezer chiamano il nuovo malware per Linux Lightning Framework un vero “coltello svizzero” per via della sua architettura modulare, oltre alla possibilità di installare rootkit e backdoor.
“Il framework ha funzionalità sia passive che attive per comunicare con l’attaccante, inclusa l’apertura di SSH sulla macchina infetta, nonché una configurazione polimorfica e flessibile per C&C”
ha afferma lo specialista di Intezer Ryan Robinson.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Sembra che il malware non sia stato ancora utilizzato in attacchi reali, ma i ricercatori sono riusciti a studiare alcuni dei suoi componenti e affermano che il resto “deve ancora essere trovato e analizzato”.
È noto che il Lightning Framework ha una struttura abbastanza semplice: il componente loader principale (kbioset), scarica e installa altri moduli malware e plugin sui dispositivi compromessi, compreso il modulo principale (kkdmflush).
Il compito del modulo principale è stabilire la comunicazione con il gestore e ricevere i comandi necessari per eseguire vari plugin, oltre a nascondere la presenza sulla macchina compromessa.
Ad esempio, il malware utilizza il typequatting per camuffarsi e si traveste da password Seahorse e gestore di chiavi.
Altri metodi di cloaking includono la modifica dei timestamp di artefatti dannosi utilizzando il timestemp e l’occultamento del PID e di tutte le porte di rete associate utilizzando uno dei numerosi rootkit che Lightning Framework è in grado di distribuire.
Il malware può prendere piede nel sistema creando uno script elastisearch in /etc/rc.d/init.d/, che verrà eseguito ad ogni avvio del sistema ed eseguirà nuovamente il modulo bootloader per reinfettare il dispositivo.
Inoltre, Lightning Framework aggiunge la propria backdoor basata su SSH al sistema infetto: avvia un server SSH utilizzando uno dei plugin scaricati (Linux.Plugin.Lightning.Sshd). Di conseguenza, ciò consentirà agli aggressori di connettersi alle macchine infette tramite SSH utilizzando le proprie chiavi SSH.
“Il Lightning Framework è un malware interessante perché è raro vedere una piattaforma così imponente costruita per Linux”, riassume Robinson. “Anche se non abbiamo tutti i file, possiamo dedurre alcune delle funzionalità mancanti in base alle righe e al codice dei moduli che abbiamo”.
RedazioneAutore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
