I ricercatori di sicurezza hanno recentemente scoperto Gitpaste-12, un nuovo worm che utilizza GitHub e Pastebin per mantenere il codice del componente. Il nuovo malware ha 12 diversi moduli di attacco disponibili, dice la società di sicurezza Juniper.
Gitpaste-12 Worm destinato a server x86 basati su Linux
Il worm Gitpaste-12 è diventato evidente ai ricercatori in ottobre, con nuovi attacchi registrati a novembre. Gli attacchi iniziali stavano prendendo di mira i server x86 basati su Linux, così come dispositivi IoT basati su Linux ARM e MIPS.
I ricercatori hanno soprannominato il malware Gitpaste-12 perché utilizza GitHub, pastebin, e 12 metodi per compromettere un sistema mirato. I ricercatori hanno segnalato sia l'URL Pastebin che il repository git utilizzato negli attacchi dopo la loro scoperta. Il repository git è stato successivamente chiuso a ottobre 30, 2020.
La seconda ondata di attacchi è iniziata a novembre 10, e Juniper dice che stava utilizzando i payload di un altro repository GitHub. Il repository conteneva un malware di mining di crittografia Linux, un file con password per attacchi di forza bruta, e un exploit per l'escalation dei privilegi locali per i sistemi x86_64.
L'infezione iniziale avviene tramite X10-Unix, un binario scritto nel linguaggio di programmazione Go, che scarica i payload della fase successiva da GitHub.
Che tipo di dispositivi utilizza Gitpaste-12?
Applicazioni web, Telecamere IP, e i router sono gli obiettivi principali del worm in "una vasta serie di attacchi". Gli attacchi stanno usando almeno 31 vulnerabilità note, sette dei quali sono stati rilevati nel precedente campione di malware. Il worm tenta anche di compromettere le connessioni Android Debug Bridge, e backdoor malware esistenti, afferma il ricercatore Juniper Asher Langton.
È interessante notare che la maggior parte degli exploit utilizzati dal worm sono nuovi, con divulgazioni pubbliche e codici proof-of-concept datati non più tardi di settembre. Le recenti istanze di Gitpaste-12 stanno cercando di eseguire questi tre passaggi:
1. Installa il software di cryptomining Monero.
2. Installa la versione appropriata del worm X10-unix.
3. Apri una backdoor in ascolto sulle porte 30004 e 30006 e carica l'indirizzo IP della vittima su un Pastebin paste privato.
Un elenco di tutti gli exploit utilizzati negli attacchi e ulteriori dettagli tecnici sono disponibili in Rapporto di Juniper.
Nel mese di ottobre, i ricercatori di sicurezza ne hanno scoperto un altro in precedenza malware sconosciuto chiamato Ttint, classificato come Trojan specifico per IoT. Gli aggressori stavano utilizzando due vulnerabilità zero-day per compromettere i dispositivi mirati, CVE-2018-14558 e CVE-2020-10987. Dai campioni catturati, sembra che il malware fosse basato sul codice Mirai.