Il malware AcidBox sfrutta l'exploit del Gruppo Turla per colpire le organizzazioni russe

Il malware AcidBox sfrutta l'exploit del Gruppo Turla per colpire le organizzazioni russe
Per aumentare l'impatto e l'intensità dei loro attacchi, diversi criminali informatici hanno iniziato a prendere di mira piattaforme di virtualizzazione legittime utilizzate nelle organizzazioni. Recentemente è stato trovato un nuovo malware che sfrutta i bug nelle nuove versioni di VirtualBox.

AcidBox: l'ultima minaccia alla virtualizzazione

Un'analisi dei campioni di malware, noti per essere utilizzati nell'exploit VirtualBox di Turla, ha dimostrato che questo malware è stato utilizzato in attacchi altamente mirati.
  • All'inizio di questo mese, l'Unità 42 di Palo Alto Networks ha scoperto che un cybergang ancora da identificare aveva lanciato attacchi contro due diverse organizzazioni russe nel 2017, attaccando il famoso software di virtualizzazione open source VirtualBox.
  • Il cybergang ha sviluppato un malware avanzato, soprannominato AcidBox, per abusare di un bug (CVE-2008-3431), nel meccanismo di sicurezza di Windows Vista chiamato Driver Signature Enforcement (DSE). Il malware ha anche preso di mira una seconda vulnerabilità DSE legata a un driver VirtualBox firmato (VBoxDrv.sys v1.6.2).
  • Visto per la prima volta nel febbraio 2020, il malware ha persino preso di mira il driver VirtualBox VBoxDrv.sys v1.6.2, insieme a tutte le altre versioni fino alla v3.0.0.

Meccanismi di evasione innovativi tramite VirtualBox

Recentemente, sono stati anche osservati criminali informatici che sfruttano VirtualBox come una tecnica di evasione per contrastare venditori di antivirus e ricercatori di virus.
  • Nel maggio 2020, sono stati osservati gli operatori di ransomware RagnarLocker che distribuivano Oracle VirtualBox per schivare la sicurezza nascondendo la loro presenza all'interno di una macchina virtuale Windows XP sui computer infetti.
  • Nel dicembre 2019, è stato rilevato il malware ZeroCleare utilizzando un driver vulnerabile ma firmato da una versione del software della macchina virtuale VirtualBox di Oracle per aggirare il controllo della firma del driver che gli consente di attaccare le versioni a 64 bit di Windows.

Stiamo sicuri

Gli utenti dovrebbero seguire i principi fondamentali della sicurezza informatica, come mantenere aggiornati il ​​software e i sistemi operativi host / guest e limitare l'accesso alla rete ai servizi critici. Inoltre, i team di sicurezza dovrebbero monitorare regolarmente l'attività del sistema per rilevare eventuali anomalie nel comportamento normale.
Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.