C'è un nuovo pezzo di avanzata di malware backdoor che può avere come bersaglio entrambi i sistemi Linux e Windows in modo sicuro, comunicazione inedito. La backdoor è stata soprannominata Godlua, come è Lua-based e “il file bytecode Lua caricato da questo campione ha un numero magico di “Dio”. Lo scopo principale della backdoor sembra essere DDoS.
Godlua Backdoor: Dettagli
Secondo Qihoo 360 ricercatori, ci sono due versioni di Godlua:
Versione 201811051556 si ottiene attraversando server di download Godlua e non v'è stato alcun aggiornamento su di esso. Versione 20190415103713 ~ 2019062117473 è attiva ed è oggetto di aggiornamento. Essi sono tutti scritti in C, ma quella attiva supporta più piattaforme di computer e più funzioni.
Il malware è stato scoperto nell'aprile 24 quest'anno, quando il sistema di rilevamento delle minacce dei ricercatori rilevato un file ELF sospetto, che è stata segnata da altri vendor di sicurezza come un cavallo di Troia mineraria. La funzionalità mineraria attualmente non può essere confermata a differenza delle DDoS che è già in uso.
Il fatto più interessante del backdoor Godlua è che ha un meccanismo di comunicazione ridondante utilizzata per il comando e controllo (c2) connessione. Si tratta di una combinazione di nome DNS hardcoded, Pastebin.com, GitHub.com e un DNS TXT che vengono utilizzati per memorizzare l'indirizzo c2. Questo comportamento è raramente visto in qualsiasi malware. Inoltre, la backdoor utilizza HTTPS scaricare i file di byte di codice Lua, e utilizza DNS su HTTPS per ottenere il nome C2 per garantire una comunicazione sicura tra i bot, il server Web e il C2, i ricercatori hanno segnalato.
Come già accennato, lo scopo primario di Godlua sembra essere correlato ad attacchi DDoS. E 'già stato rilevato in campagne attive in un attacco flood HTTP contro il liuxiaobei[.]dominio com.
I ricercatori hanno bisogno di vedere di più di Godlua per essere in grado di determinare il modo in cui la backdoor infetta i suoi obiettivi. Finora l'unica cosa che si sa è che il malware utilizza la cosiddetta Confluence exploit (CVE-2019-3396) per indirizzare gli utenti Linux.
CVE-2019-3396 è una vulnerabilità che risiede nella macro Widget connettore in Atlassian Confluence Server prima versione 6.6.12 (la versione fissa per 6.6.x), dalla versione 6.7.0 prima 6.12.3 (la versione fissa per 6.12.x), dalla versione 6.13.0 prima 6.13.3 (la versione fissa per 6.13.x), e dalla versione 6.14.0 prima 6.14.2 (la versione fissa per 6.14.x).
La vulnerabilità consente agli aggressori remoti di ottenere il percorso di attraversamento e l'esecuzione di codice da remoto su un server Confluence o un'istanza Data Center mediante iniezione modello server-side, come spiegato nel advisory ufficiale.
suggerimento dei ricercatori è almeno “monitorare e bloccare il relativo IP, URL e dominio nome Godlua Backdoor sulla rete". divulgazione tecnica completa di Godlua backdoor è disponibile.