Mexals, il cryptojacking analizzato da Akamai

Un gruppo di ricercatori di sicurezza di Akamai ha seguito e studiato il ritorno di Mexals, un’operazione di cryptojacking con base probabilmente in Romania. L’operazione è in corso almeno dal 2020 ed era stata già esaminata in un report di Bitdefender nel luglio 2021. Ma sta tornando a colpire con incidenza ancora maggiore.

Akamai analizza la campagna di cryptojacking Mexals

Mexals continua a creare problemi, anche se Akamai spiega che il gruppo dedito al cryptojacking si sta facendo chiamare in altro modo. L’ultima serie di attacchi e aggiornamenti del malware sembra essere cominciata nell’ottobre 2022. Adesso si fanno chiamare Diicot, che è anche il nome dell’ente rumeno anti-terrorismo e criminalità organizzata.

Proteggiti con Bitdefender, Leader in Cybersecurity

I ricercatori di sicurezza di Akamai hanno cominciato a indagare sull’operazione dopo aver scoperto un DNS maligno presso un cliente Akamai. Tutti i clienti Akamai coinvolti sono stati prontamente avvisati e sono state adottate le adeguate contromisure.

Gli attaccanti usano una lunga sequenza di payload prima di installare un cryptominer per la valuta Monero. Le nuove funzionalità comprendono l‘uso di un modulo worm SSH (Secure Shell Protocol), una maggiore segnalazione, una migliore offuscazione del payload e un nuovo modulo LAN spreader. Esaminando il pool dei minatori, Akamai valuta che gli attaccanti abbiano guadagnato monete XMR per un valore di circa 10.000 USD.

Una minaccia in espansione

Il team di esperti di Akamai valuta che questi ultimi attacchi sono una continuazione della campagna del 2021 descritta da Bitdefender. Ma anche se ci sono diverse somiglianze con il rapporto originale, questo malware ha subito un’evoluzione significativa.

Una delle differenze tra le due campagne è il loro nome: il gruppo che prima si chiamava Mexals ora usa il nome Diicot – ma uno dei loro strumenti ha lo stesso nome. Diicot è anche l’acronimo dell’agenzia antiterrorismo della Romania, ma sembra sia una coincidenza. Analizzando il loro modo di operare, la catena dei payload e gli IOC, è emerso chiaramente che, nonostante il cambio di nome, queste due campagne erano collegate.

Tuttavia, questa nuova campagna presenta un offuscamento più efficace, nomi di file meno evidenti e pool di mining personalizzati che non c’erano nella versione precedente. La catena di attacco inizia con la forzatura bruta delle credenziali SSH. Quindi segue una lunga catena di payload offuscati, che alla fine installa un cryptominer XMRig. Uno dei payload lasciati è un modulo wormable che potrebbe essere stato attivato in questa rinascita.

Akamai valuta che i server di attacco si trovino in un VPS situato nei Paesi Bassi. Ma le vittime siano distribuite in tutto il mondo. Sembra che gli attaccanti abbiano guadagnato più di 10.000 dollari in monete XMR.

Akamai analizza il cryptojacking Mexals: chi sono le vittime?

Un’analisi più approfondita dell’infrastruttura degli aggressori e delle vittime diventa difficile dal fatto che gli aggressori hanno un payload wormable, che può infettare altre macchine e mascherare la loro origine. Pertanto, identificare gli IP di origine, che non si capisce che siano controllati dagli aggressori o semplicemente vittime infette.

Akamai ha raccolto tutti gli IP di attacco osservati (50 indirizzi IP unici), mappandoli geograficamente in base alla loro posizione nel mondo. Inoltre, trovando alcuni clienti di Akamai che sono stati infettati dal payload wormable, hanno potuto aggiungerli all’elenco delle vittime.

La maggior parte delle località mostra un’attività molto bassa, ma ci sono alcuni hotspot nell’Europa occidentale. L’alta attività lì fa pensare che gli hotspot siano in realtà macchine gestite dagli aggressori, mentre le altre sono macchine vittime rilevate dal payload wormable. Il payload wormable non sembra essere molto attivo, poiché sono poche le macchine infette contemporaneamente.

Mitigazione

Questo malware non usa metodi innovativi o complessi per diffondersi. Si limita a fare un attacco su SSH. Di conseguenza, solo le macchine che hanno SSH accessibile da Internet sono vulnerabili. Una soluzione efficace per ridurre i pericoli di questi attacchi è bloccare SSH sul bordo della rete o metterlo dietro una VPN.

Inoltre, bisosgna usare credenziali personalizzate o password robuste per diminuire il rischio. Un’altra buona pratica sta nell’usare le chiavi SSH per l’autenticazione perché sono più sicure delle password.

Infine, bisogna tenere in considerazione anche il modulo che si propaga nella LAN. Poiché usa anche SSH per il movimento laterale, la segmentazione della rete può essere una misura di mitigazione efficace. Se pensiamo ai server aperti a Internet come la zona demilitarizzata (DMZ), allora bloccare il traffico SSH dalla DMZ al resto della rete è la cosa più sensata da fare.

Per aiutare a identificare le infezioni causate da questa campagna malevola, Akamai ha messo a disposizione un repository Github con alcuni strumenti utili. In questo repository ci sono uno script bash, un elenco esaustivo di IOC e query osquery che i clienti di Akamai Guardicore Segmentation possono utilizzare.

Oltre a questi strumenti, diventa utile monitorare il traffico in uscita verso i pool di mining controllando la porta di destinazione. Le porte predefinite per i pool di mining sono spesso abbastanza particolari. Tenete sotto controllo:

• La porta TCP 4242, spesso quella porta predefinita per questa implementazione del pool
• Le porte TCP 3333, 5555, 7777, 9000 sono le porte predefinite nell’implementazione del pool nodejs

Se i minatori si collegassero tramite HTTP e HTTPS, in questo caso il rilevamento sarebbe molto più complesso. Tuttavia, vale la pena cercare queste porte. Maggiori informazioni sul sito di Akamai.

Offerta

Sicurezza dei computer e delle reti. Ediz. MyLab. Con Contenuto digitale per accesso on line

• Stallings, William (Autore)

44,65 EUR

Acquista su Amazon