Sandro Sana : 7 Marzo 2025 17:19
Dal marzo 2023, un sospetto gruppo APT (Advanced Persistent Threat) di origine cinese ha iniziato a prendere di mira vari settori critici a livello globale, con particolare attenzione a governi, difesa, telecomunicazioni, aviazione ed educazione nel Sud-Est asiatico e in Sud America. Questo attore malevolo ha dimostrato capacità avanzate di attacco grazie all’impiego di Squidoor, una backdoor sofisticata e modulare progettata per operare in modo furtivo su sistemi Windows e Linux.
L’attacco, come evidenziato dalla mappatura delle connessioni di Threat Intelligence (vedi immagine allegata), mostra un’infrastruttura articolata, con l’uso di molteplici tecniche di persistenza e di esfiltrazione dei dati. Un’analisi dettagliata su questa minaccia è disponibile nel report pubblicato da Palo Alto Networks Unit 42, consultabile al seguente link: Unit 42 – Advanced Backdoor Squidoor. In questo articolo analizzeremo in dettaglio il funzionamento di Squidoor, le sue tecniche di evasione, i vettori di infezione e le contromisure necessarie per difendersi da questa minaccia.
Squidoor non è una semplice backdoor, ma un sistema modulare avanzato che sfrutta diversi protocolli di comunicazione per mantenere l’accesso ai sistemi compromessi senza destare sospetti. Tra questi protocolli troviamo:
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Oltre a queste capacità, Squidoor implementa sofisticate tecniche di offuscamento del codice (MITRE ATT&CK T1027), rendendo difficile la sua analisi e individuazione da parte dei sistemi di difesa tradizionali.
L’attacco inizia con la compromissione di server Microsoft Internet Information Services (IIS). Gli aggressori sfruttano vulnerabilità note per ottenere accesso iniziale e poi installano web shell offuscate, che garantiscono un accesso persistente ai sistemi infetti.
Queste web shell si caratterizzano per l’uso di chiavi di decrittazione simili e una struttura del codice che suggerisce una matrice comune. L’obiettivo è mantenere il controllo della macchina infetta, consentendo l’esecuzione di comandi remoti e l’esfiltrazione di dati sensibili.
Dalla mappatura delle connessioni di Threat Intelligence (vedi immagine), emergono diversi indirizzi IP e domini malevoli associati alla campagna, tra cui:
104.244.72.123
update.hciiter.com
support.vmphere.com
microsoft-beta.com
zimbra-beta.info
Questi domini vengono utilizzati per le comunicazioni C2, permettendo agli attori della minaccia di eseguire operazioni di controllo e gestione dei dispositivi compromessi.
L’uso di Squidoor rappresenta una minaccia significativa per le organizzazioni colpite, sia per la sua capacità di operare sotto traccia sia per la varietà di vettori di attacco impiegati. La capacità del malware di sfruttare protocolli legittimi come l’Outlook API e il DNS tunneling rende difficile il rilevamento mediante strumenti di sicurezza tradizionali.
Per proteggersi da questa minaccia, le organizzazioni devono adottare un approccio proattivo che includa:
L’attacco Squidoor dimostra l’evoluzione delle minacce APT e la necessità di difese avanzate per contrastarle. L’adozione di protocolli legittimi per scopi malevoli, unita alla capacità di operare su sistemi multipiattaforma, evidenzia l’importanza di strategie di sicurezza multilivello.
Le aziende e gli enti governativi devono essere consapevoli dei rischi e implementare misure di sicurezza avanzate per prevenire, rilevare e mitigare attacchi come questo. Solo attraverso un approccio basato su intelligence, monitoraggio continuo e aggiornamenti costanti è possibile contrastare minacce sofisticate come Squidoor e proteggere dati e infrastrutture critiche.
Resta aggiornato sulle ultime minacce di cybersecurity seguendo Red Hot Cyber.
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006