I ricercatori di sicurezza di Trend Micro hanno scoperto una catena di attacchi utilizzando un worm SSH e il ransomware DarkRadiation. La maggior parte dei componenti di questa catena di attacchi prende di mira le distribuzioni Linux RedHat e CentOS. In alcuni script vengono prese di mira le distribuzioni Linux basate su Debian.
Secondo i ricercatori, gli strumenti di hacking vengono utilizzati per spostarsi lateralmente su reti mirate per fornire ransomware. Questi strumenti includevano exploit per Red Hat/CentOS, iniettori binari e script di ricognizione/diffusore.
L’analisi della catena di attacco ha rivelato un worm SSH e uno script ransomware. Il ransomware si chiama DarkRadiation e lo script downloader[.]sh come worm SSH.
Il worm SSH accetta le credenziali di configurazione codificate in base64 come argomenti che vengono scaricati dopo il punto d’appoggio iniziale sui sistemi o utilizzati come elenco di forza bruta per colpire i sistemi con password deboli.
Il worm controlla se la configurazione data è pronta per utilizzare un attacco con password SSH o un attacco con chiave SSH. Inoltre, verifica le chiavi o le password SSH rispetto all’indirizzo IP di destinazione.
Per la crittografia, il ransomware utilizza l’algoritmo AES di OpenSSL in modalità CBC. Il malware ottiene una password di crittografia con un argomento della riga di comando passato dallo script del worm.
Il worm SSH
Il worm SSH ha una funzione install_tools per scaricare e installare le utilità richieste su un sistema infetto se non sono già installate.
Il worm scarica e installa i pacchetti prerequisiti per la distribuzione Linux basata su CentOS o RHEL perché utilizza Yellowdog Updater, un gestore di pacchetti modificato (YUM).
Altri strumenti di hacking e varianti di DarkRadiation utilizzano YUM per scaricare/installare pacchetti essenziali. In definitiva, segnala i risultati di scansione/diffusione all’operatore tramite l’API di Telegram.
Il ransomware DarkRadiation
Il ransomware è scritto in uno script bash e prende di mira le distribuzioni Red Hat/CentOS e Debian Linux. Si sospetta che lo script denominato supermicro_cr_three sia l’ultima versione di questo ransomware.
Questo script è in fase di sviluppo e varie versioni di questo ransomware sono simili con modifiche minori. Alcune funzioni sono utilizzate dall’autore del malware, mentre altre no.
Lo script è offuscato con node-bash-obfuscate, che è uno strumento CLI Node[.]js e una libreria per offuscare gli script bash. Può dividere lo script bash in blocchi.
Di solito, l’avversario utilizza più strumenti di hacking per spostarsi lateralmente su reti mirate. Tuttavia, gli strumenti di hacking in questo attacco hanno numeri di rilevamento molto bassi in VirusTotal. Pertanto, si prevede che gli aggressori stiano probabilmente cercando di utilizzare strumenti di basso profilo per rimanere nascosti alle agenzie di sicurezza.