Nuova botnet denominata KmsdBot

Il malware mira a compromettere i sistemi con architetture winx86, arm64, mips64 e x86_64, al fine di inserirli in una botnet per future attività di post-exploitation, quali la perpetrazione di attacchi di tipo Distribuited Denial-of-Service (DDoS) e/o il mining di criptovalute.

Nel dettaglio il malware, scritto in Golang (Go), prende il nome dall’eseguibile “kmsd.exe” che, una volta prelevato da una risorsa remota e avviato, sarebbe in grado di:

• infettare dispositivi tramite lo sfruttamento di credenziali SSH deboli;
• comunicare con il server di Comando and Controllo (C&C), tramite il protocollo TCP;
• aggiornare il proprio codice;
• adottare tecniche evasive, tra le quali la peculiarità di non ottenere la persistenza sul sistema, al fine di non essere rilevato dai meccanismi di sicurezza;
• effettuare attività di scansione la rete alla ricerca di host vulnerabili;
• avviare e interrompere a comando il processo di mining di criptovaluta;
• utilizzare i protocolli UDP e TCP, con richieste di tipo GET e POST, per le comunicazioni;
• perpetrare attacchi DDoS.

Fonti: CSIRT Italia, Akamai