Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Quando gli hacker entrano dalla porta di servizio! PuTTY e SSH abusati per accedere alle reti

Redazione RHC : 3 Giugno 2025 07:08

Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’obiettivo di installare backdoor persistenti sui dispositivi infetti. Questo attacco evidenzia come i cybercriminali stiano puntando sempre più su strumenti di amministrazione affidabili per sfuggire ai sistemi di rilevamento, riuscendo così a mantenere un accesso non autorizzato all’interno delle reti aziendali.

Questa tecnica di attacco rappresenta una tendenza crescente degli attacchiLiving off the Land” (LOLBIN), in cui i file binari di sistema legittimi vengono trasformati in armi per scopi dannosi. 

È risaputo nella comunità della cybersecurity che i threat actor abbiano da tempo iniziato a diffondere versioni trojanizzate di PuTTY. Questo client SSH gratuito, ampiamente adottato, rappresenta da anni un punto di riferimento per gli amministratori di sistema e di rete. Tuttavia, recenti analisi condotte dai ricercatori del SANS rivelano che gli autori della minaccia hanno ampliato le loro tattiche per abusare del client OpenSSH nativo di Windows, che Microsoft ha integrato come componente predefinito a partire dalla versione 1803 di Windows 10.

L’inclusione di OpenSSH in Windows ha rappresentato un traguardo significativo per gli amministratori, che finalmente potevano eseguire comandi SSH e SCP direttamente dal prompt dei comandi. Questa comodità, tuttavia, ha inavvertitamente offerto nuove opportunità agli aggressori.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Secondo i ricercatori di SANS Security, il campione dannoso caricato su VirusTotal con il nome file “dllhost.exe” (SHA256: b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b) ha ottenuto un punteggio di rilevamento di 18/71, evidenziando la difficoltà nell’identificare tali attacchi. Il malware prende di mira specificatamente il client Windows OpenSSH situato in “C:\Windows\System32\OpenSSH\ssh.exe” per implementare un meccanismo backdoor.

Punto del codice dove il malware contatta il C2

La sequenza di attacco inizia con il tentativo del malware di avviare un servizio “SSHService” esistente sul sistema compromesso. Se questo tentativo iniziale fallisce, il malware legge una chiave di registro in “SOFTWARE\SSHservice” per accedere a un numero di porta casuale precedentemente memorizzato. Durante la prima esecuzione, il malware genera una porta casuale e la salva nel registro per un utilizzo futuro.

Il malware crea un sofisticato file di configurazione SSH che stabilisce la comunicazione con l’infrastruttura di comando e controllo (C2) dell’aggressore. Il file di configurazione, memorizzato in “c:\windows\temp\config”, contiene parametri specifici progettati per mantenere l’accesso persistente:

La configurazione specifica il server di comando e controllo all’indirizzo IP 193[.]187[.]174[.]3 utilizzando la porta 443, imitando deliberatamente il traffico HTTPS legittimo per evitare sospetti. La configurazione SSH include diversi parametri tecnici progettati per mantenere una connettività persistente: ServerAliveInterval 60 e ServerAliveCountMax 15 garantiscono che la connessione resti attiva, mentre StrictHostKeyChecking non bypassa le procedure di verifica di sicurezza che potrebbero avvisare gli utenti di connessioni non autorizzate. 

Il malware implementa anche una direttiva RemoteForward, sebbene i ricercatori di sicurezza abbiano notato che la sintassi di configurazione contiene errori che potrebbero influire sulla funzionalità. La backdoor funziona attraverso un meccanismo di ciclo infinito, eseguendo lunghi cicli di sospensione tra un tentativo di connessione e l’altro. 

L’abuso di OpenSSH è particolarmente preoccupante data la sua ampia diffusione negli ambienti Windows e il suo legittimo utilizzo da parte degli amministratori di sistema per attività di gestione remota. I team di sicurezza dovrebbero implementare un monitoraggio completo delle attività correlate a SSH, concentrandosi in particolare su file di configurazione insoliti, connessioni di rete inaspettate a server SSH esterni e modifiche del registro correlate ai servizi SSH. 

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’intelligenza artificiale ci travolgerà! l’allarme dell’ex dirigente di Google è un futuro distopico
Di Redazione RHC - 07/08/2025

Un ex dirigente di Google lancia l’allarme: l’intelligenza artificiale è pronta a spodestare i lavoratori e trascinarci verso una distopia. Mo Gawdat, lancia l’allarme: l...

Oskemen o niente: il Cyberpandino sfida canyon, deserti e dromedari e non si ferma!
Di Redazione RHC - 07/08/2025

Una Panda del 2003, acquistata per appena 800 €, è diventata qualcosa di totalmente diverso, anche per noi di Red Hot Cyber! Grazie alla genialità di Matteo Errera e Roberto Za...

Italiani in vacanza, identità in vendita: soggiorno 4 stelle… Sono in 38.000, ma sul dark web
Di Redazione RHC - 06/08/2025

Mentre l’ondata di caldo e il desiderio di una pausa estiva spingono milioni di persone verso spiagge e città d’arte, i criminali informatici non vanno in vacanza. Anzi, approfittan...

Telecamere D-Link sotto attacco! Gli hacker sfruttano ancora vulnerabilità del 2020. Il CISA Avverte
Di Redazione RHC - 06/08/2025

Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security...

Decadenza Digitale: Quando il Futuro Promesso Diventa una Gabbia per la mente
Di Massimiliano Brolli - 06/08/2025

Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico. Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo...