Quando gli hacker entrano dalla porta di servizio! PuTTY e SSH abusati per accedere alle reti

Redazione RHC : 3 Giugno 2025 07:08

Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’obiettivo di installare backdoor persistenti sui dispositivi infetti. Questo attacco evidenzia come i cybercriminali stiano puntando sempre più su strumenti di amministrazione affidabili per sfuggire ai sistemi di rilevamento, riuscendo così a mantenere un accesso non autorizzato all’interno delle reti aziendali.

Questa tecnica di attacco rappresenta una tendenza crescente degli attacchi “Living off the Land” (LOLBIN), in cui i file binari di sistema legittimi vengono trasformati in armi per scopi dannosi. 

È risaputo nella comunità della cybersecurity che i threat actor abbiano da tempo iniziato a diffondere versioni trojanizzate di PuTTY. Questo client SSH gratuito, ampiamente adottato, rappresenta da anni un punto di riferimento per gli amministratori di sistema e di rete. Tuttavia, recenti analisi condotte dai ricercatori del SANS rivelano che gli autori della minaccia hanno ampliato le loro tattiche per abusare del client OpenSSH nativo di Windows, che Microsoft ha integrato come componente predefinito a partire dalla versione 1803 di Windows 10.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’inclusione di OpenSSH in Windows ha rappresentato un traguardo significativo per gli amministratori, che finalmente potevano eseguire comandi SSH e SCP direttamente dal prompt dei comandi. Questa comodità, tuttavia, ha inavvertitamente offerto nuove opportunità agli aggressori.

Secondo i ricercatori di SANS Security, il campione dannoso caricato su VirusTotal con il nome file “dllhost.exe” (SHA256: b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b) ha ottenuto un punteggio di rilevamento di 18/71, evidenziando la difficoltà nell’identificare tali attacchi. Il malware prende di mira specificatamente il client Windows OpenSSH situato in “C:\Windows\System32\OpenSSH\ssh.exe” per implementare un meccanismo backdoor.

La sequenza di attacco inizia con il tentativo del malware di avviare un servizio “SSHService” esistente sul sistema compromesso. Se questo tentativo iniziale fallisce, il malware legge una chiave di registro in “SOFTWARE\SSHservice” per accedere a un numero di porta casuale precedentemente memorizzato. Durante la prima esecuzione, il malware genera una porta casuale e la salva nel registro per un utilizzo futuro.

Il malware crea un sofisticato file di configurazione SSH che stabilisce la comunicazione con l’infrastruttura di comando e controllo (C2) dell’aggressore. Il file di configurazione, memorizzato in “c:\windows\temp\config”, contiene parametri specifici progettati per mantenere l’accesso persistente:

La configurazione specifica il server di comando e controllo all’indirizzo IP 193[.]187[.]174[.]3 utilizzando la porta 443, imitando deliberatamente il traffico HTTPS legittimo per evitare sospetti. La configurazione SSH include diversi parametri tecnici progettati per mantenere una connettività persistente: ServerAliveInterval 60 e ServerAliveCountMax 15 garantiscono che la connessione resti attiva, mentre StrictHostKeyChecking non bypassa le procedure di verifica di sicurezza che potrebbero avvisare gli utenti di connessioni non autorizzate. 

Il malware implementa anche una direttiva RemoteForward, sebbene i ricercatori di sicurezza abbiano notato che la sintassi di configurazione contiene errori che potrebbero influire sulla funzionalità. La backdoor funziona attraverso un meccanismo di ciclo infinito, eseguendo lunghi cicli di sospensione tra un tentativo di connessione e l’altro. 

L’abuso di OpenSSH è particolarmente preoccupante data la sua ampia diffusione negli ambienti Windows e il suo legittimo utilizzo da parte degli amministratori di sistema per attività di gestione remota. I team di sicurezza dovrebbero implementare un monitoraggio completo delle attività correlate a SSH, concentrandosi in particolare su file di configurazione insoliti, connessioni di rete inaspettate a server SSH esterni e modifiche del registro correlate ai servizi SSH. 

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli