Un nuovo rapporto ha evidenziato il fatto che alcuni hacker non sono interessati a installare malware o virus sui dispositivi presi di mira, ma si sforzano invece di portare l'intero set di strumenti sul dispositivo della vittima, il che li aiuterebbe a scegliere il miglior strumento dannoso per ciascuno . individuale. obbiettivo.
La ricerca di Sysdig, che chiama il metodo "Bring Your Own Filesystem", o BYOF in breve, ha scoperto che il metodo ha funzionato finora su dispositivi Linux, grazie a un'utilità vulnerabile chiamata PRoot.
Secondo Sysdig, gli attori delle minacce creerebbero un intero file system dannoso sui propri dispositivi, quindi lo scaricherebbero e lo monterebbero sull'endpoint compromesso. In questo modo, ottengono un set preconfigurato di strumenti che li aiuta a compromettere ulteriormente i sistemi Linux.
Installazione di cryptojacker
"In primo luogo, gli attori delle minacce creano un file system dannoso che verrà distribuito. Questo file system dannoso include tutto ciò di cui l'operazione ha bisogno per avere successo", ha affermato Sysdig nel suo rapporto. "Fare questa preparazione in questa fase iniziale consente a tutti gli strumenti di essere scaricati, configurati o installati sul sistema dell'attaccante lontano dagli occhi indiscreti degli strumenti di rilevamento".
Sebbene la società di software abbia finora esaminato solo il metodo utilizzato per installare i minatori di criptovaluta su questi dispositivi, afferma che esiste il potenziale per attacchi più distruttivi e dannosi.
PRoot è uno strumento di utilità che consente agli utenti di creare file system root isolati su Linux. Sebbene lo strumento sia progettato in modo che tutti i processi vengano eseguiti nel file system guest, esistono modi per combinare programmi host e guest, che vengono utilizzati in modo improprio dagli attori delle minacce. Inoltre, i programmi in esecuzione sul file system guest possono utilizzare il meccanismo integrato di mount/bind per accedere a file e directory sul sistema host.
Apparentemente, abusare di PRoot per diffondere malware è relativamente facile, poiché lo strumento è compilato in modo statico e non richiede dipendenze aggiuntive. Tutto ciò che gli hacker devono fare è scaricare il file binario preconfezionato da GitLab e montarlo sull'endpoint di destinazione.
"Eventuali dipendenze o configurazioni sono incluse anche nel file system, quindi l'attaccante non ha bisogno di eseguire alcun comando di configurazione aggiuntivo", spiega Sysdig. "L'attaccante esegue PRoot, lo punta al file system decompresso dannoso e specifica il file binario XMRig da eseguire."
Via: BleepingComputer (si apre in una nuova scheda)