I ricercatori di Cisco Talos in un’analisi pubblicata questa settimana hanno affermato di avere scoperto una nuova botnet di cryptomining Monero alla quale hanno dato il nome di Xanthe. L’attore di questa minaccia, attivo dal mese di marzo, sfrutta installazioni API Docker mal configurate per infettare i sistemi Linux.
In particolare il malware Xanthe è stato scoperto, per la prima volta in occasione di una campagna che utilizzava una botnet multi modulare e che ha colpito un honeypot Cisco allestito dagli stessi ricercatori proprio per indagare su alcune vulnerabilità di sicurezza (trattasi di un server che emula semplici funzioni API HTTP Docker).
Il campione del payload rilevato, dalle analisi eseguite, è risultato essere una variante del miner XMRig Monero con capacità di utilizzare vari metodi per diffondersi sulla rete e propagarsi verso host noti locali e remoti.
Xanthe. Il processo di attacco
Il malware Xanthe, il cui nome deriva dal nominativo del file script di diffusione principale, prevede una catena d’infezione che utilizza un downloader iniziale (“pop.sh”) per scaricare ed eseguire il modulo bot principale (“xanthe.sh”) deputato sia a reiterare la diffusione che a scaricare ed eseguire ulteriori quattro moduli extra con varie funzionalità per l’anti rilevamento e la persistenza:
- librocesshider. Un modulo per nascondere il processo “libprocesshider.so”;
- Anti malware killer module. Uno script shell (“xesa.txt”) per disabilitare altri miner concorrenti e servizi di sicurezza;
- Docker competition killer. Uno script shell (“fczyo”) per rimuovere i container Docker dei cryptomining concorrenti;
- java_c XMRig miner. Un binario XMRig comprensivo di un file di configurazione JSON (“config.json”).
Le modalità di diffusione
Il modulo principale bot è, come specificato dal team di sicurezza, anche responsabile della diffusione del malware verso sistemi locali e remoti secondo con due modalità:
- tramite autenticazioni senza password utilizzando istanze di certificati rubate e il protocollo sicuro SSH;
- sfruttando falle legate a installazioni Server Docker mal configurate.
Nel primo caso la funzione denominata “localgo”, opportunamente implementata, dopo il recuperato degli indirizzi IP disponibili degli host infetti procede:
- dapprima, alla ricerca di qualsiasi nome file che presenti la stringa “id_rsa” o che abbia estensione “.pem” analizzando anche file di configurazione SSH e di cronologia bash all’esplorazione di ulteriori e possibili stringhe di chiavi;
- e successivamente, ad avviare un ciclo che itera combinazioni di nomi utente, host, chiavi e porte noti nel tentativo di connettersi e autenticarsi sugli host remoti e continuare così la propagazione del modulo principale.
Nel secondo caso invece, gli attori della minaccia procedono per la diffusione, alla ricerca di server Docker non configurati in modo corretto ed esposti in rete con scarsi livelli di sicurezza per sfruttarli illecitamente con semplici compromissioni. A tal proposito secondo Cisco Talos da un monitoraggio eseguito via Shodan, risulterebbero esposte su Internet più di 6.000 implementazioni Docker configurate in modo errato.
Conclusioni
Purtroppo questa nuova minaccia prova ancora una volta come l’impiego di server Linux, sempre più spesso poco protetti, per l’implementazione di servizi essenziali e lo sviluppo e la distribuzione di applicazioni cloud based (la cui richiesta è in costante aumento) e l’errata consuetudine di prestare maggior controllo in termini di sicurezza solo nei confronti dei sistemi Windows (ritenuti più insicuri per antonomasia o per partito preso) hanno finito con l’esporre le varie piattaforme web basate sui sistemi di Torvalds ad attacchi di ogni tipo, rendendole, di fatto, i nuovi bersagli preferiti dei criminal hacker.