Nuova Variabile di Malware Chaos Colpisce le Distribuzioni Cloud Malconfigurate, Introducendo un Proxy SOCKS

Un Nuovo Rischio per le Infrastrutture Cloud

Di recente, i ricercatori di cybersecurity hanno individuato una nuova variante del malware noto come Chaos, capace di sfruttare le debolezze nelle distribuzioni cloud malconfigurate. Questo segna un’espansione preoccupante delle capacità del botnet, che ha tradizionalmente colpito router e dispositivi di edge computing. Secondo un rapporto pubblicato da Darktrace, il malware sta ora mirando a configurazioni errate nelle infrastrutture cloud, cambiando il suo raggio d’azione e amplificando i rischi per le aziende.

La prima documentazione riguardante Chaos risale a settembre 2022, quando Lumen Black Lotus Labs lo ha descritto come un malware cross-platform in grado di operare sia in ambienti Windows che Linux. Questo malware ha la capacità di eseguire comandi shell remoti, installare moduli aggiuntivi, propagarsi ad altri sistemi attraverso brute-force delle chiavi SSH, minare criptovaluta e lanciare attacchi di Distributed Denial-of-Service (DDoS) attraverso vari protocolli.

Dettagli dell’Attacco

Recentemente, Darktrace ha monitorato un attacco che ha preso di mira un’istanza Hadoop mal configurata, la quale ha permesso l’esecuzione remota di codice. L’intrusione è iniziata con una richiesta HTTP inviata alla distribuzione Hadoop per creare un’applicazione. Questa applicazione, progettata per recuperare un file binario di un agente Chaos da un server controllato dall’attaccante, ha eseguito una serie di comandi shell. Tra questi, c’era anche la modifica dei permessi per consentire a chiunque di eseguire il file, e la successiva cancellazione del file stesso per ridurre le tracce forensi.

È interessante notare che il dominio utilizzato per l’attacco era già associato a una campagna di phishing email condotta dal gruppo di cybercrime cinese Silver Fox, suggerendo una connessione tra queste minacce. Questo gruppo ha utilizzato il dominio per diffondere documenti ingannevoli e malware.

Sviluppi Tecnologici del Malware

La nuova versione di Chaos presenta una modifica significativa: l’introduzione di una funzionalità proxy SOCKS. Questo consente al sistema compromesso di fungere da un mezzo per nascondere l’origine delle attività malevole, complicando il lavoro dei professionisti della sicurezza informatica nel rilevare e bloccare gli attacchi. Inoltre, sono state effettuate modifiche ad altre funzionalità precedentemente ereditate dall’altro malware DDoS noto come Kaiji, indicando che gli sviluppatori hanno apportato revisioni significative per rendere il malware più sofisticato.

La presenza di queste funzionalità suggerisce che i criminali informatici dietro Chaos stiano cercando di diversificare il proprio arsenale di attacchi, non limitandosi più soltanto ai minatori di criptovaluta e agli attacchi DDoS “a pagamento”. Questo sviluppo potrebbe avere conseguenze gravi per le aziende italiane, che sono sempre più vulnerabili a questo tipo di attacchi.

Conclusioni e Raccomandazioni

Mentre Chaos continua a evolversi e ad adattarsi, diventa essenziale per le organizzazioni, anche in Italia, implementare misure di sicurezza robuste per proteggere le proprie infrastrutture cloud. Le aziende dovrebbero condurre audit delle configurazioni e formare il personale su pratiche di sicurezza informatica, riducendo il rischio di attacchi. Questo sviluppo rimarca l’urgenza di comprendere che le minacce informatiche sono in continua evoluzione, e l’adozione di una strategia di difesa attiva è fondamentale per ridurre i pericoli legati a malware avanzati come Chaos.