Casa > Cyber ​​Notizie > CVE-2020-14871: Gli hacker UNC1945 utilizzano il sistema operativo Solaris Zero-Day contro le reti aziendali
CYBER NEWS

CVE-2020-14871: Gli hacker UNC1945 utilizzano il sistema operativo Solaris Zero-Day contro le reti aziendali

Un gruppo di hacker scoperto di recente, chiamato UNC1945, è stato rilevato che utilizza una vulnerabilità zero-day precedentemente sconosciuta contro i computer con sistema operativo Solaris.

Il sistema operativo di proprietà di Oracle viene utilizzato principalmente dalle grandi aziende in configurazioni aziendali complesse. Tuttavia, questo bug zero-day ha permesso ai criminali di intromettersi nelle reti interne. Tutte le informazioni disponibili sono tracciate nell'advisory CVE-2020-14871 e monitorate dalla comunità della sicurezza.

UNC1945 Hacking Group va contro i sistemi Solaris con bug zero-day monitorato in CVE-2020-14871

Il sistema operativo Solaris è un servizio aziendale che viene utilizzato principalmente in reti aziendali complesse. Si basa su una struttura simile a UNIX tradizionale e come tale può essere utilizzato per vari scopi: eseguire calcoli complessi, gestione delle impostazioni di rete, o fornire dati.




È stato scoperto che il gruppo di hacker noto come UNC1945 sfrutta diversi tipi di attacchi contro i server Solaris che si trovano dietro le reti aziendali. In questo momento non si sa molto sugli hacker, tranne per il fatto che sono riusciti a utilizzare una vulnerabilità precedentemente sconosciuta, denominato bug del giorno zero. Il rapporto di sicurezza che indica questa pericolosa violazione proviene dal team di ricerca Mandiant. Gli attacchi contro ambienti simili sono in aumento. Lo abbiamo segnalato di recente i gruppi di hacking hanno preso di mira i dispositivi Synology. Il loro sistema operativo è un derivato di una distribuzione Linux.

Il punto di intrusione è un bypass della procedura di autenticazione utilizzata dal sistema operativo, il guasto è stato rilevato dai criminali e ha permesso loro di installare un modulo backdoor chiamato SLAPSTICK nei sistemi. Viene attivato automaticamente dopo l'inizio dell'infezione, ed eseguirà le proprie azioni. I computer presi di mira erano quelli esposti a Internet più ampio.

Tuttavia, invece di continuare con l'intrusione come la maggior parte delle altre minacce di questa categoria, gli hacker hanno ordinato al malware di continuare in un modo diverso e molto più dannoso.

Gli hacker UNC1945 utilizzano una tecnica di infezione complicata contro gli host Solaris

Invece di continuare con le infezioni sfruttando la backdoor SLAPSTICK per creare una connessione persistente al server controllato dagli hacker, gli hacker hanno scelto di prendere un'altra strada. I gruppi di hacker sembrano prendere di mira obiettivi di alto profilo, come hanno creato un molto complesso procedura di sicurezza di esclusione che è progettato per superare le misure di protezione adottate dal sistema e dai programmi installati dall'utente: scansioni anti-malware, firewall, e sistemi di rilevamento delle intrusioni. Per evitare il rilevamento, la sequenza dannosa scaricherà e installerà un host di macchina virtuale QEMU. Dentro, verrà eseguita un'immagine creata dagli hacker di una distribuzione Linux.

Questa macchina virtuale sarà accessibile dai criminali e poiché è preconfigurata da loro, consentirà loro di eseguire tutto ciò che è contenuto nelle utilità. L'analisi ha scoperto che sono pieni di scanner di rete, programmi di cracking delle password, e altri exploit. La macchina virtuale sarà esposta al sistema host e consentirà agli hacker di eseguire comandi contro di essa, così come altri computer disponibili sulla rete interna. Il fattore pericoloso è che gli attacchi possono essere contro tutti i tipi di sistemi operativi, inclusi Microsoft Windows e altri sistemi basati su UNIX.

Le possibili conseguenze dell'intrusione includono le seguenti azioni dannose:

  • Eliminazione dei registri — Uno speciale programma malware viene utilizzato per eliminare i registri delle azioni del virus.
  • Forza bruta laterale — Dalla macchina virtuale installata gli hacker possono proseguire oltre “screpolatura” altri computer sulla rete interna che utilizzano gli strumenti distribuiti.
  • Accesso ai file — Tutti i dati accessibili dal malware possono essere rubati dagli hacker.
  • Controllo — Gli hacker possono assumere il controllo degli host e spiare direttamente gli utenti.

In questo momento si ritiene che gli hacker UNC1945 abbiano acquistato l'exploit da un venditore di mercato sotterraneo di hacker. Lo strumento utilizzato dagli hacker (EVILSUN) è probabilmente acquisito da questi luoghi, ha permesso ai criminali di eseguire l'exploit e piantare la backdoor.

Naturalmente, in seguito alle notizie di questa attività di malware, Oracle ha risolto il problema nel mese di ottobre 2020 bollettino sugli aggiornamenti di sicurezza. Al momento non ci sono informazioni sul numero di host infetti. Tutti gli amministratori di Solaris sono invitati ad applicare gli ultimi aggiornamenti per impedire agli hacker di tentare gli exploit sui loro sistemi.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo