Sfrutta vulnerabilità note per produrre criptomoneta o per vendere servizi di phishing e distribuzione malware
Un gruppo di criminali informatici ha infettato oltre 40.000 server Web, modem e altri dispositivi dell’internet delle cose (IoT) con un malware identificato come Prowli, con l’obiettivo di effettuare mining di criptovaluta e per reindirizzare utenti web verso siti dannosi. Il malware Prowli è stato individuato per la prima volta dai ricercatori dell’azienda di sicurezza GuardiCore: gli attaccanti sono riusciti a reclutare un così grande numero di macchine attraverso attacchi di forza bruta, sfruttando vulnerabilità note dei dispositivi.
La dinamica dell’attacco
Ecco quali sono i principali metodi di attacco associati alla campagna denominata Operazione Prowli che sono stati osservati dagli esperti:
- utilizzo di un worm (un codice malevolo auto-propagante) che prende di mira con attacchi di forza bruta i sistemi che consentono di stabilire una sessione remota cifrata mediante protocollo SSH. Una volta infettata una macchina, il malware scarica ed esegue un codice per il mining di criptovaluta;
- sfruttamento della vulnerabilità CVE-2018-7482 per compromettere server che eseguono istanze del CMS Joomla! con l’estensione K2;
- accedendo al pannello di configurazione di vari modem DSL utilizzando un URL come http: //: 7547 / UD / act? 1 e passando i parametri che sfruttano una vulnerabilità che consente l’esecuzione di codice in remota. La medesima vulnerabilità è stata precedentemente utilizzata anche dal temuto malware Mirai ;
- utilizzo di diversi exploit e lancio di attacchi a forza bruta per accedere al pannello di amministrazione di siti WordPress;
- sfruttamento si una vulnerabilità nota da ben 4 anni e codificata come CVE-2014-2623 che consente all’attaccante di eseguire comandi con privilegi di sistema sui server che eseguono HP Data Protector esposti attraverso la porta 5555;
- lanciando attacchi di forza bruta contro istanze del CMS Drupal, PhpMyAdmin, NFS box e server con porte SMB esposte.
Una volta che gli attaccanti hanno compromesso un server o un dispositivo IoT, determinano se possono utilizzarlo per le operazioni di mining di criptovaluta. Gli operatori dietro la campagna Prowli hanno utilizzato un minatore Monero (un tipo di criptovaluta) ed il worm r2r2, codice malevolo utilizzato per lanciare attacchi di forza bruta contro sistemi che accettano connessioni SSH. “Gli attaccanti dietro Prowli non incorrono in spese quando usano r2r2 per prendere il controllo di computer di proprietà altri e usano pool minerari per riciclare i loro guadagni – Si legge nell’analisi pubblicata dagli esperti – Gli attaccanti preferiscono minare valuta Monero perché è nota per il maggiore livello di anonimato rispetto al Bitcoin”.
Effetti collaterali
La gang dietro Prowli hacker ha anche compromesso i server con la backdoor WSO Web Shell. I siti compromessi sono stati utilizzati per ospitare un codice malevolo che reindirizza i visitatori a un sistema di distribuzione del traffico (TDS), con questa metodica riescono a vendere servizi di dirottamento del traffico ad altri gruppi secondo un modello di crime-as-a-service. Questi servizi acquistano traffico da gang come Prowli e lo rivendono a loro volta a coloro che vogliono reindirizzare ignari visitatori verso domini che possono essere parte di campagne di phishing o che distribuiscono malware.
L’operazione Prowli ha compromesso un’ampia gamma di servizi, senza rivolgersi a un settore specifico e colpendo organizzazioni di tutti i tipi e dimensioni. Ulteriori dettagli sulla campagna Prowli, inclusi gli indicatori di compromissione (IoC) utili agli amministratori di rete per individuare la minaccia nei propri sistemi, sono riportati nell’analisi pubblicata da GuardiCore.