Mexals è una campagna di cryptojacking, probabilmente di origine rumena, seguita e analizzata da Akamai Security Research secondo cui è attiva almeno dal 2020 e potrebbe essere una nuova iterazione della campagna del 2021 scoperta da Bitdefender.
Sebbene però ci siano diverse correlazioni con il suddetto rapporto originale, Akamai ritiene che le funzionalità del malware siano migliorate.
In particolare, l’analisi della catena payload e degli IoC avrebbe mostrato degli elementi che non erano presenti nell’iterazione precedente del malware.
“In questa campagna abbiamo visto un migliore offuscamento, nomi di file meno appariscenti (che imitano i browser Chrome e Opera) e proxy pool di mining personalizzati (invece di pool pubblici) che non erano presenti nell’iterazione precedente”, commenta il Senior Security Researcher Akamai, Stiv Kupčik.
I ricercatori Akamai che hanno iniziato ad analizzare la campagna in seguito a un rilevamento DNS dannoso presso un loro cliente, ritengono che l’ultima ondata di attacchi con le nuove funzionalità del malware sia iniziata nell’ottobre 2022.
Le nuove funzionalità includerebbero:
- l’utilizzo di un modulo worm SSH (Secure Shell Protocol);
- un maggiore reporting;
- un migliore offuscamento payload;
- un nuovo modulo LAN spreader.
Si stima che gli attori della minaccia, che ora si fanno chiamare Diicot (che è anche il nome dell’agenzia antiterrorismo rumena) abbiano minato monete XMR per un valore di circa 10.000 USD con vittime sparse in tutto il mondo.
Indice degli argomenti
La catena di attacco completa di Mexals
La catena inizierebbe con un attacco a dizionario su credenziali SSH, seguito da una lunga catena di payload offuscati, che alla fine rilasciano un cryptominer XMRig (Monero).
Vale la pena notare come ogni payload coinvolto si concateni con vari metodi per impostare e passare alle fasi successive.
Catena payload completa (fonte: Akamai).
Segue una breve descrizione dei vari payload coinvolti.
- “Aliases” è un payload wormable scritto in Golang, che si occupa di leggere due file (protocols e bios.txt) rispettivamente un elenco di password utente rilasciato dallo script bash “Update” e un elenco di indirizzi IP delle macchine target con SSH aperto creato dallo scanner Network Chrome e quindi di eseguire un attacco a dizionario su ciascun obiettivo eseguendo il successivo script “Payload”. Quest’ultimo script si occupa infine di verificare la presenza di altri cryptominer noti, interrompendone eventualmente i processi, e di continuare la catena in base al numero di core presenti nella CPU della macchina colpita:
- se sono presenti meno di quattro core, lo script installa solo gli script “History” e “Update” (eseguibili responsabili dell’avvio della catena e pianificati comunque per essere eseguiti al riavvio della macchina vittima);
- se sono presenti quattro o più core, lo script scarica ed esegue ”.diicot” , uno script bash compilato deputato a eseguire il cryptominer XMRig (“Opera”);
- se sono presenti otto o più core, lo script scarica ed esegue anche “Retea”, lo spreader LAN.
Secondo una pratica di attacco che sta guadagnando popolarità tra le gang criminali, gli attaccanti ricevono segnalazioni sui tentativi di violazione tramite quattro diversi webhook Discord.
Le novità più significative del malware
Secondo l’esperto Stiv Kupčik il cambiamento più significativo della campagna Mexals sarebbe stato riscontrato nella tecnica impiegata nell’offuscamento del payload.
“In precedenza, la maggior parte dei payload eseguibili erano, infatti, script bash compilati con shc, ma ora gli script bash compilati risultano compressi anche con UPX con l’intestazione UPX rimossa per ostacolare l’analisi e la decompressione”.
L’eseguibile compresso non può essere decompresso a causa della rimozione dell’intestazione UPX (fonte: Akamai).
Ma secondo Kupčik, anche il modulo LAN spreader presenterebbe delle funzionalità interessanti. Infatti, lo script compilato dello spreader dopo aver profilato gli utenti configurati sul sistema, da utilizzare insieme ad un elenco di password predefinite hardcoded per un attacco SSH, e scansionato la rete LAN per rilevare le macchine con porte SSH aperte, salva l’output delle informazioni raccolte in un file che può essere successivamente raccolto dagli attori malevoli.
Consigli di mitigazione
Poiché, come visto, il malware Mexals impiega per distribuirsi sia un attacco a dizionario che uno spreader LAN basati su SSH, il blocco del traffico SSH (dedicando una zona demilitarizzata DMZ per i server esposti su Internet anche con accessi RDP e MS-RPC), l’utilizzo di credenziali non predefinite e la segmentazione della rete sono tutte misure che, secondo Akamai, possono mitigare notevolmente il rischio d’infezione e propagazione del malware tramite movimento laterale.