La scorsa settimana, l’FBI e la NSA hanno rilasciato un allerta di sicurezza congiunta contenente dettagli sul malware Drovorub, un nuovo strumento nelle mani di APT28. Questo è un malware Linux utilizzato per impiantare backdoor nelle reti compromesse. Il malware è un sistema multi-componente che consiste in un rootkit del modulo kernel, un impianto, un server C&C, un modulo di port forwarding e uno strumento di trasferimento file.
Drovorub consente al gruppo APT28 di eseguire varie funzioni tra cui il furto di file e il controllo remoto del sistema attaccato. Il malware è altamente furtivo, i suoi autori lo hanno armato con tecnologie avanzate di ‘rootkit’ per complicare la rilevazione. Il malware Drovorub è utilizzato in campagne a più stadi e richiede che il gruppo APT ottenga privilegi di root prima di un’installazione riuscita.
Si consiglia agli amministratori di sistema di aggiornare al Kernel Linux 3.7 o versione successiva per evitare di essere suscettibili agli attacchi. Ariel Millahuel ha rilasciato una nuova regola comunitaria che scopre tracce del malware Drovorub sui sistemi Linux: https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Evitamento della difesa
Tecniche: Interfaccia a riga di comando (T1059), Rootkit (T1014)
Pronto per provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.
