Tsunami Botnet

Una botnet di recente costituzione denominata Tsunami è stata oggetto di un rapido sviluppo, con i ricercatori di infosec che hanno osservato un notevole aumento delle sue capacità in breve tempo. Quando l'attività della botnet è stata rilevata per la prima volta, ha distribuito un payload costituito da una variante di crypto-miner XMR Monero. Come vettore di compromesso, sfruttava i sistemi API Docker configurati in modo errato. Entrambi gli aspetti della botnet sono stati modificati in modo significativo nell'ultima versione.

Gli hacker responsabili dell'attivazione della botnet hanno cambiato il vettore di attacco e ora Tsunami si propaga attraverso una vulnerabilità WebLogic. In particolare, sfrutta la vulnerabilità CVE-2020-14882, a cui è stato assegnato un livello di gravità di 9,8 su 10. Nell'ottobre 2020, Oracle ha pubblicato una patch per risolvere il problema, ma molti obiettivi non sono stati patchati e rimangono esposti agli attacchi. Il numero di payload di malware forniti dalla botnet è raddoppiato con l'inclusione dei binari di Tsunami oltre alle varianti di cripto-miner XMR precedentemente osservate. Per la propagazione laterale all'interno della rete compromessa, utilizza SecureShell enumerando utenti, chiavi, host e porte ssh. I ricercatori di Infosec che hanno analizzato il codice sottostante del malware hanno scoperto due sezioni di codice inutilizzato. Uno è dedicato allo sfruttamento di Redis mentre l'altro può tentare la forzatura bruta di SecyreShell. Un'altra funzionalità aggiunta al malware è la capacità di terminare specifiche soluzioni di sicurezza e strumenti di monitoraggio. Può anche terminare i processi in esecuzione per qualsiasi strumento di mining potenzialmente concorrente che potrebbe essere già stato implementato sull'obiettivo compromesso da altri attori della minaccia.

Durante la sua catena di attacchi in più fasi, la botnet fornisce più script di shell .xms e un numero ancora maggiore di script Python. In generale, gli script della shell hanno il compito di preparare l'ambiente per la consegna dei payload del malware. Eseguono le routine di terminazione del processo, disinstallano alcune soluzioni di difesa degli endpoint e conducono il movimento laterale SSH cercando di infettare gli host con cui il server è stato in precedenza in contatto. Gli script .xms stabiliscono anche il meccanismo di persistenza della minaccia sfruttando i cronjobs, che scaricheranno ed eseguiranno gli script della shell e gli script python a intervalli predeterminati: 1 minuto, 2 minuti, 3 minuti, 30 minuti e ogni ora. Anche /etc/init.d/down viene sovrascritto garantendo la persistenza ad ogni avvio del sistema.

D'altra parte, gli script Python sono i veicoli che distribuiscono i payload del malware della botnet. Con quattro script in totale, possono essere separati in due gruppi distinti. Il primo gruppo che viene distribuito è quello per il crypto-miner XMRig Monero. Stabilisce inoltre il proprio meccanismo di persistenza tramite cron prima di avviare il secondo gruppo di script. In questa fase, i file binari di Tsunami vengono recuperati e inizializzati sulla destinazione.

Il rapido sviluppo della botnet combinato con la scoperta di funzionalità inutilizzate che potrebbero essere abilitate in qualsiasi momento dimostra la capacità dei criminali informatici di adattare e modificare rapidamente i propri strumenti malware.