29 Novembre 2022 09:13
Alert
Nuova botnet denominata KmsdBot
Il malware mira a compromettere i sistemi con architetture winx86, arm64, mips64 e x86_64, al fine di inserirli in una botnet per future attività di post-exploitation, quali la perpetrazione di attacchi di tipo Distribuited Denial-of-Service (DDoS) e/o il mining di criptovalute.
Nel dettaglio il malware, scritto in Golang (Go), prende il nome dall’eseguibile “kmsd.exe” che, una volta prelevato da una risorsa remota e avviato, sarebbe in grado di:
- infettare dispositivi tramite lo sfruttamento di credenziali SSH deboli;
- comunicare con il server di Comando and Controllo (C&C), tramite il protocollo TCP;
- aggiornare il proprio codice;
- adottare tecniche evasive, tra le quali la peculiarità di non ottenere la persistenza sul sistema, al fine di non essere rilevato dai meccanismi di sicurezza;
- effettuare attività di scansione la rete alla ricerca di host vulnerabili;
- avviare e interrompere a comando il processo di mining di criptovaluta;
- utilizzare i protocolli UDP e TCP, con richieste di tipo GET e POST, per le comunicazioni;
- perpetrare attacchi DDoS.
Fonti: CSIRT Italia, Akamai