Un gruppo di hacker sconosciuto sta sfruttando un malware precedentemente sconosciuto chiamato Ttint, classificato come Trojan specifico per IoT. Quello che sappiamo è che gli sviluppatori di hacker stanno utilizzando due vulnerabilità zero-day per intromettersi nei dispositivi di destinazione. L'analisi della sicurezza ha portato a un'indagine, rivelando così le debolezze in due avvisi pubblicati: CVE-2018-14558 e CVE-2020-10987. Dai campioni catturati, sembra che il malware sia basato sul codice Mirai.
CVE-2018-14558 & CVE-2020-10987 utilizzato come meccanismo per fornire Ttint IoT Trojan
Un nuovo e pericoloso Trojan IoT attacca i dispositivi in tutto il mondo. Secondo l'analisi del codice rilasciato, è basato sul codice Mirai e sviluppato da un gruppo di hacker sconosciuto. Come altri virus di questa categoria, quando si è verificata una singola infezione, tenterà automaticamente di intromettersi su altri host simili, creando così una grande rete botnet nel processo. Per questo motivo, tali campagne di attacco sono considerate molto efficaci se vengono effettuati la configurazione e gli obiettivi appropriati.
Le infiltrazioni con questo particolare malware vengono effettuate utilizzando l'approccio tipico di attacchi di rete diretti — gli hacker utilizzeranno framework automatizzati caricati con le vulnerabilità necessarie. Se le reti di destinazione sono prive di patch, le infezioni avverranno automaticamente. Uno dei motivi per cui queste intrusioni sono state considerate critiche per il loro potenziale di danno è perché i punti deboli sono stati etichettati come “zero-day”, erano sconosciuti prima delle infezioni.
I primi attacchi sono stati rilevati a novembre 2019, quando il Trojan Ttint IoT è stato lanciato contro i proprietari di router Tenda. Questa prima istanza ha utilizzato le due vulnerabilità e la divulgazione pubblica è stata effettuata a luglio 2020. La seconda ondata di attacchi è stata effettuata ad agosto 2020, di nuovo contro i dispositivi Tenda. Il Trojan Ttint si concentra sull'utilizzo di questi due avvisi:
- CVE-2018-14558 — È stato rilevato un problema sui dispositivi Tenda AC7 con firmware tramite V15.03.06.44_CN(AC7), Dispositivi AC9 con firmware fino a V15.03.05.19(6318)_CN(AC9), e dispositivi AC10 con firmware fino a V15.03.06.23_CN(AC10). Una vulnerabilità di command Injection consente agli aggressori di eseguire comandi del sistema operativo arbitrari tramite una richiesta goform / setUsbUnload predisposta. Ciò si verifica perché il “formsetUsbUnload” funzione esegue una funzione dosystemCmd con input non attendibile.
- CVE-2020-10987 — L'endpoint goform / setUsbUnload della versione Tenda AC15 AC1900 15.03.05.19 consente agli aggressori remoti di eseguire comandi di sistema arbitrari tramite il parametro POST deviceName.
Secondo le informazioni disponibili, la maggior parte degli attacchi sono contro le vittime in Sud America.
Funzionalità di Ttint IoT Trojan
Il Tting Iot Trojan è basato su Mirai e come tale include una sequenza di infezione simile. Sebbene includa lo stesso approccio distribuito di negazione del servizio, gli hacker hanno anche implementato un file aggiuntivo 12 istruzioni di controllo.
Quando l'infezione viene eseguita sui computer interessati, una delle prime azioni sarà quella di nascondere le tracce dei virus dall'essere rilevato. Questo viene fatto monitorando il sistema operativo con l'obiettivo di cercare eventuali sistemi di sicurezza installati. Se ne vengono trovati, il Trojan tenterà di disabilitarli, questo funziona per programmi e servizi come i programmi antivirus, firewall, host di macchine virtuali e ecc. Questo motore di malware potrebbe cancellarsi se non riesce a bypassare questi programmi.
Quando il Trojan viene rilevato su un determinato sistema, impedirà il riavvio del sistema, questo è un esempio di a installazione persistente. Questo è intenzionale e differisce da altre minacce simili che avviano semplicemente il virus quando il dispositivo è acceso.
I nomi effettivi in base ai quali operano i processi associati al malware verranno rinominati, questo è un tentativo di nascondere la loro presenza. Tutti i file di configurazione e i dati associati al suo funzionamento sono crittografati, rendendoli disponibili solo agli hacker. Alcune delle caratteristiche distintive del trojan Ttint IoT sono le seguenti:
- Operazione Trojan avanzata - Il programma agente installato localmente si connetterà a un server controllato da hacker e consentirà agli aggressori remoti di assumere completamente il controllo dei dispositivi. Tuttavia, invece di utilizzare una connessione standard, questo particolare virus utilizzerà un protocollo websocket che rende molto difficile tracciare i pacchetti.
- Utilizzo del server proxy - La comunicazione tra il computer locale e il server remoto controllato dagli hacker verrà inoltrata tramite un server proxy gestito dai criminali.
- Hijack di accesso alla rete - Il malware riconfigurerà importanti file di configurazione dei dispositivi di destinazione. Poiché sono per lo più router, così facendo i criminali avranno pieno accesso all'accesso alla rete degli utenti.
- Esposizione alla rete - Riscrivendo le regole del firewall, la minaccia sarà in grado di esporre i servizi altrimenti privati che vengono distribuiti sulle macchine dietro la rete interna.
- Aggiornamento - A determinati intervalli, il malware principale verificherà se è stata rilasciata una nuova versione. Può aggiornarsi automaticamente a qualsiasi iterazione più recente.
Come altri virus di questa categoria, è in grado di farlo dirottare informazioni sensibili dal dispositivo host, compresi i componenti hardware disponibili. I dati raccolti verranno segnalati ai criminali durante la trasmissione in rete.
Di seguito è riportato un elenco completo dei comandi integrati implementati:
attack_udp_generic, attack_udp_vse, attack_udp_dns, attack_udp_plain, atack_tcp_flag, attack_tcp_pack, attack_tcp_xmas, attack_grep_ip, attack_grep_eth, attack_app_http, eseguire il comando "nc", eseguire il comando "ls", eseguire comandi di sistema, manomissione del DNS del router, Segnala le informazioni sul dispositivo, Config iptables, eseguire il comando "ifconfig", autouscita, Apri il proxy Socks5, Proxy Clos Socks5, Aggiornamento automatico, guscio inverso
In questo momento la migliore riparazione è eseguire l'aggiornamento al firmware più recente disponibile dal produttore del dispositivo. Al momento Tenda è l'unico produttore noto di dispositivi mirati. Data l'entità degli attacchi e l'ampio elenco di funzionalità, prevediamo che gli attacchi futuri riguarderanno una gamma più ampia di dispositivi IoT.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: