Botnet Gitpaste-12

Gitpaste-12 è una botnet e una minaccia worm estremamente sofisticata che è stata dotata di un'ampia gamma di funzionalità minacciose. Il nome Gitpaste-12 deriva dal fatto che alcuni componenti della minaccia erano ospitati su servizi legittimi come GitHub e Pastebin. Il numero 12 indica i 12 diversi vettori di attacco sfruttati dal worm: 11 vulnerabilità e una funzione di forza bruta telnet. Due delle vulnerabilità riguardano Apache Struts e MongoDB, due componenti open source ampiamente utilizzati. Il malware è progettato per infettare server x86 basati su Linux e dispositivi Internet of Things (IoT) basati su ARM e MIPS Linux.

Il fatto che il payload principale della botnet Gitpaste-12 fosse ospitato su siti autentici come GitHub e Pastebin, rende molto più difficile bloccare l'infrastruttura di comando e controllo (C2, C&C) del malware all'interno della rete compromessa. Va notato che Gitpaste-12 era presente su Github per diversi mesi a partire da luglio 2020 ma è stato rimosso dopo essere stato scoperto dai ricercatori di Juniper Threat Labs. Sebbene ciò interrompa efficacemente la propagazione della botnet, gli hacker possono stabilire la loro infrastruttura C2 altrove, una possibilità che è molto probabilmente dovuta al fatto che Gitpaste-12 è in fase di sviluppo attivo, come evidenziato da diversi fattori.

Una volta all'interno del dispositivo mirato, Gitpaste-12 termina più livelli di misure protettive anti-malware. Disattiva le regole del firewall, apparmor, selinux, ecc. Quindi consente agli hacker di eseguire comandi di shell inversa utilizzando le porte TCP 30004 e 30005, come osservato su alcuni dei sistemi infetti. Gitpaste-12 ha diversi moduli responsabili del rilascio di un minatore di criptovaluta Monero sui dispositivi compromessi, l'esecuzione di uno script basato su Telnet per attacchi di forza bruta contro server Linux e dispositivi IoT, un meccanismo di persistenza tramite cronjob, ecc. Il worm può propagarsi e infettare altre macchine scegliendo un CIDR casuale / 8 e provando tutti gli indirizzi all'interno di quell'intervallo.