Il worm Gitpaste-12 è tornato in nuovi attacchi mirati ad applicazioni web, telecamere IP e router, questa volta con una serie ampliata di exploit per dispositivi inizialmente compromessi.
Scoperta per la prima volta in una serie di attacchi di fine ottobre che hanno preso di mira server basati su Linux e dispositivi IoT (Internet of Things), la botnet utilizza GitHub e Pastebin per ospitare codice dannoso, ha almeno 12 diversi moduli di attacco e include un cryptominer che prende di mira la criptovaluta Monero.
Ora, i ricercatori hanno scoperto una nuova serie di attacchi da parte del malware, a partire dal 10 novembre, che utilizzava un diverso repository GitHub per colpire applicazioni web, telecamere IP, router e altro. La campagna è stata interrotta il 27 ottobre dopo la rimozione del repository GitHub che ospitava i payload del worm.
“L’ondata di attacchi utilizzava payload da un altro repository GitHub, che conteneva un cryptominer Linux (‘ls’), un elenco di password per i tentativi di forza bruta (‘pass’) e un interprete Python 3.9 collegato staticamente di provenienza sconosciuta”, hanno detto i ricercatori di Juniper Threat Labs in un’analisi di martedì.
La prima fase della compromissione del sistema iniziale del worm sfrutta ancora le vulnerabilità rivelate in precedenza. Tuttavia, un nuovo campione scoperto nel repository di attacchi iniziali di Gitpaste-12 mostra che il worm ha ampliato l’ampiezza di questi vettori di attacco.
L’esempio, X10-unix, è un binario contenuto in UPX scritto nel linguaggio di programmazione Go, compilato per i sistemi Linux x86_64. I ricercatori hanno scoperto che il binario ospitava exploit per almeno 31 vulnerabilità note, solo sette delle quali erano state viste anche nel precedente campione di Gitpaste-12.
Molte di queste vulnerabilità mirate sono nuove, alcune delle quali sono state rivelate solo a settembre. Un difetto mirato è un problema tecnico di esecuzione di comandi remoti in vBulletin (CVE-2020-17496); mentre un altro difetto è nei router Tenda (CVE-2020-10987) che consente agli aggressori remoti di eseguire comandi arbitrari.
Gitpaste-12 ora tenta anche di compromettere le connessioni Android Debug Bridge aperte e le backdoor malware esistenti, hanno affermato i ricercatori. Android Debug Bridge è uno strumento da riga di comando che consente agli utenti di comunicare con un dispositivo.
Una volta che un exploit è stato eseguito con successo, il malware installa il software di cryptomining Monero, installa la versione appropriata del worm e apre una backdoor per ascoltare le porte 30004 e 30006. La porta 30004 utilizza il protocollo TCP (Transmission Control Protocol), che è uno dei principali protocolli nelle reti TCP / IP; mentre la porta 30005 è un protocollo basato su SOAP / HTTP bidirezionale, che fornisce la comunicazione tra dispositivi come router o switch di rete e server di configurazione automatica.
In caso di connessione riuscita, l’esempio di malware esegue uno script che carica un file binario nativo con codifica base64 (“blu”). I ricercatori hanno affermato che il binario Blu sonda l’hardware Bluetooth del dispositivo e installa un APK Android con codifica base64 (“weixin.apk”).
L’APK quindi carica l’indirizzo IP del dispositivo su Pastebin, quindi scarica e installa una porta CPU ARM di X10-unix.
“Sebbene sia difficile accertare l’ampiezza o l’efficacia di questa campagna di malware, in parte perché Monero – a differenza di Bitcoin – non ha transazioni tracciabili pubblicamente, JTL può confermare che sono stati osservati oltre cento host distinti che propagano l’infezione“, hanno detto i ricercatori.