25 Giugno 2020 - Tempo di lettura: 15 minuti
Il 29 maggio 2020, i ricercatori dell'Unità 42 hanno scoperto una nuova variante di un malware di crittografia ibrida a seguito di numerosi episodi di sfruttamento di CVE-2019-9081 in natura. Uno sguardo più attento ha rivelato che il malware, che abbiamo soprannominato "Lucifer", è in grado di condurre attacchi DDoS e ben equipaggiato con tutti i tipi di exploit contro host Windows vulnerabili. La prima ondata della campagna si è interrotta il 10 giugno 2020. L'attaccante ha quindi ripreso la campagna l'11 giugno 2020, diffondendo una versione aggiornata del malware e provocando il caos. Il campione è stato compilato giovedì 11 giugno 2020 22:39:47 UTC e catturato dal firewall di nuova generazione di Palo Alto Networks. Al momento in cui scrivo, la campagna è ancora in corso.
Lucifer è abbastanza potente nelle sue capacità. Non solo è in grado di far cadere XMRig per il cryptojacking di Monero, ma è anche in grado di comandare e controllare (C2) il funzionamento e l'autopropagazione attraverso lo sfruttamento di molteplici vulnerabilità e il bruto forzamento delle credenziali. Inoltre, rilascia ed esegue backdoor EternalBlue, EternalRomance e DoublePulsar contro target vulnerabili per infezioni Intranet.
L'elenco completo degli exploit armati comprende CVE-2014-6287 , CVE-2018-1000861 , CVE-2017-10271 , vulnerabilità ThinkPHP RCE (CVE-2018-20062) , CVE-2018-7600 , CVE-2017-9791 , CVE- 2019-9081 , PHPStudy Backdoor RCE , CVE-2017-0144 , CVE-2017-0145 e CVE-2017-8464. Queste vulnerabilità hanno valutazioni “alte” o “critiche” a causa della loro natura banale da sfruttare e del loro enorme impatto inflitto alla vittima. Una volta sfruttato, l'attaccante può eseguire comandi arbitrari sul dispositivo vulnerabile. In questo caso, gli obiettivi sono host di Windows sia su Internet che su Intranet, dato che l'attaccante sta sfruttando l' utilità certutil nel payload per la propagazione del malware. Fortunatamente, le patch per queste vulnerabilità sono prontamente disponibili.
Mentre le vulnerabilità abusate e le tattiche di attacco sfruttate da questo malware non sono nulla di originale, forniscono ancora una volta un messaggio a tutte le organizzazioni, ricordando loro perché è assolutamente importante mantenere i sistemi aggiornati ogni volta che è possibile, eliminare le credenziali deboli e avere un livello delle difese per sicurezza.
Al momento della stesura di questo blog, il portafoglio XMR ha pagato 0,493527 XMR, che viene convertito in circa $ 32 USD.
I firewall di nuova generazione di Palo Alto Networks sono in grado di rilevare e bloccare tutti i tentativi di exploit di questo tipo di famiglia di malware.
Questo blog include un'analisi dettagliata di Lucifer e il confronto tra la versione 1 e la versione 2.
Una breve nota sul nome: mentre l'autore del malware ha chiamato il loro malware Satan DDoS, c'è un altro malware, Satan Ransomware , che porta già quel nome subdolo. Un alias alternativo è stato dato a questo malware per evitare confusione. Come risultato di rimanere fedeli alle stringhe uniche nel binario, chiamiamo questo Lucifer.
Nella nostra ricerca abbiamo identificato due versioni di Lucifer: ci concentriamo prima sulla versione 1 e quindi evidenziamo le modifiche apportate alla versione 2 nella sezione seguente.
Lucifero contiene tre sezioni di risorse, ognuna delle quali contiene un file binario per uno scopo specifico. La sezione delle risorse X86 contiene una versione x86 di XMRig 5.5.0 di UPX . La sezione delle risorse X64 contiene una versione x64 di XMRig 5.5.0 piena di UPX . La sezione SMB contiene un binario, in cui ci sono molti exploit di Equation Group come EternalBlue ed EternalRomance e, naturalmente, il famigerato impianto backdoor DoublePulsar .