Il malware Perfctl diventa la minaccia silenziosa che infetta migliaia di server Linux
In una recente allarmante scoperta di Aqua Security, un malware stealth denominato Perfctl ha preso di mira attivamente i server Linux per oltre tre anni, passando attraverso le crepe delle configurazioni errate e delle vulnerabilità del server. Questo malware sofisticato ha compromesso migliaia di sistemi, concentrandosi su tattiche di evasione e dirottamento di risorse per estrarre criptovaluta. Ecco cosa devi sapere su questa famiglia di malware che sta volando sotto il radar.
Sommario
Come funziona Perfctl
Perfctl sfrutta più di 20.000 vulnerabilità note e configurazioni errate nei server Linux per stabilire un accesso persistente. Una volta dentro, non fa scattare immediatamente allarmi. Invece, funziona silenziosamente, usando un rootkit per nascondersi e si attiva solo quando il server è inattivo. La comunicazione con la sua infrastruttura di comando e controllo (C&C) è gestita attentamente tramite un socket Unix e la rete Tor, assicurando che i comandi esterni siano difficili da tracciare.
Una volta che il malware è all'interno del sistema, crea una backdoor, aumentando i privilegi e consentendo ai suoi operatori di controllare il server infetto da remoto. Da lì, Perfctl distribuisce strumenti per la ricognizione, rilascia un miner di criptovaluta e utilizza software di proxy-jacking per rubare risorse dai sistemi compromessi. I suoi operatori distribuiscono anche altro malware, rendendo questi server infetti terreno fertile per attività più nefaste.
L'evasione e la persistenza sono la chiave della furtività di Perfctl
Perfctl è progettato soprattutto per una cosa: rimanere nascosto. Modifica gli script di sistema per garantire che venga eseguito prima dei carichi di lavoro legittimi, mantenendo la sua presa sul server. Si aggancia anche a varie funzioni di autenticazione, consentendogli di bypassare i controlli delle password o persino di registrare le credenziali, dando agli aggressori ulteriore accesso a dati sensibili. Il malware arriva persino a sospendere le sue operazioni se rileva l'attività dell'utente, rendendolo quasi invisibile agli amministratori.
Confezionati, spogliati e crittografati, i binari di Perfctl sono progettati per eludere il rilevamento e il reverse engineering. I suoi creatori hanno fatto di tutto per garantire che i meccanismi di difesa tradizionali non funzionino contro di esso. A peggiorare le cose, Perfctl non si accontenta solo di compromettere un sistema: cerca attivamente altri malware sul server e tenta di eliminarli, assicurandosi di essere l'unico malware in esecuzione sul sistema.
Vulnerabilità: CVE-2021-4043 sfruttata
Uno dei punti di ingresso critici per Perfctl è tramite una vulnerabilità nota: CVE-2021-4043. Si tratta di un bug di dereferenziazione del puntatore Null di media gravità nel framework multimediale open source Gpac. Perfctl utilizza questa vulnerabilità per aumentare i suoi privilegi, tentando di ottenere l'accesso root. Sebbene il bug sia stato recentemente aggiunto al catalogo delle vulnerabilità note sfruttate di CISA, rimane un bersaglio per questo malware a causa del suo continuo sfruttamento in natura.
Una volta che Perfctl ottiene l'accesso, si diffonde nel sistema infetto, copiandosi in più posizioni e persino rilasciando utility Linux modificate, che agiscono come rootkit userland. Queste utility mascherano ulteriormente le sue operazioni e consentono al cryptominer di funzionare in background senza essere notato.
La portata dell'attacco
La portata di Perfctl è ampia, con Aqua Security che ha identificato tre server di download utilizzati negli attacchi e una serie di siti Web compromessi. Gli autori della minaccia dietro Perfctl utilizzano elenchi di fuzzing di directory traversal contenenti quasi 20.000 voci per cercare file di configurazione e segreti esposti. Ciò rende chiaro che gli aggressori non si affidano solo a vulnerabilità casuali, ma cercano sistematicamente configurazioni errate da sfruttare.
Cosa si può fare?
La scoperta di Perfctl evidenzia l'importanza di mantenere configurazioni sicure sui server Linux e di correggere le vulnerabilità note il prima possibile. Gli amministratori di sistema dovrebbero controllare regolarmente i loro sistemi per attività insolite, specialmente durante i periodi di inattività, e monitorare il traffico di rete sospetto che potrebbe indicare la presenza di un rootkit o di un miner di criptovaluta.
Data la natura sofisticata di Perfctl, i meccanismi di rilevamento tradizionali potrebbero non essere sufficienti. Le organizzazioni dovrebbero prendere in considerazione l'implementazione di strumenti avanzati di rilevamento delle minacce e soluzioni di monitoraggio in grado di identificare modelli insoliti nel comportamento del server, anche se il malware sta attivamente cercando di nascondersi.