Attacchi del Sistema di Direzione del Traffico Parrot (TDS)
Indice:
Un nuovo sistema di direzione del traffico (TDS), chiamato Parrot TDS, sfrutta una rete di server hackerati che ospitano siti web per indirizzare le vittime che rientrano nel profilo richiesto verso domini utilizzati per eseguire truffe o distribuire malware. Secondo i dati attuali, il numero di siti web compromessi ha raggiunto quota 16.500 e continua a crescere. Gli avversari prendono di mira principalmente server legittimi, database di hosting e siti web di istituzioni educative, risorse governative e piattaforme di contenuti per adulti.
Rileva attività malevole associate a Parrot TDS
Per rilevare file malevoli insinuati nel tuo sistema dagli operatori di Parrot TDS, utilizza la regola basata su Sigma creata dal nostro sviluppatore Threat Bounty Furkan Celik, che è sempre alla ricerca di nuove minacce:
Questa rilevazione è disponibile per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
La regola è allineata con il più recente framework MITRE ATT&CK® v.10, affrontando la tattica Command and Control con il software di accesso remoto (T1219) come tecnica principale.
Sfoglia l’ampia libreria di regole disponibile sulla piattaforma di SOC Prime per trovare altri contenuti di rilevamento delle minacce pertinenti e verificare se il tuo sistema è infettato da file malevoli. Sei un cacciatore di minacce professionale che si impegna a condividere la propria esperienza con la più grande comunità di cybersecurity al mondo? Unisciti alla nostra iniziativa di crowdsourcing per ricompense e riconoscimenti continui con il programma Threat Bounty.
Visualizza rilevazioni Unisciti a Threat Bounty
Campagne che utilizzano Parrot TDS
Secondo un nuovo rapporto dei ricercatori di Avast, Parrot TDS è emerso intorno a ottobre 2021, con un picco nel numero di campagne che utilizzano questo strumento a febbraio 2022.
Parrot TDS funge da portale attraverso il quale campagne più dannose possono raggiungere potenziali vittime. In questo scenario, FakeUpdates (conosciuto anche come SocGholish) altera l’aspetto dei siti infetti con JavaScript per visualizzare falsi avvisi per l’aggiornamento del browser, con un file necessario disponibile per il download comodamente a portata di mano. Quello che le vittime ottengono realmente è uno strumento di accesso remoto.
Quando un utente ingannato visita uno dei siti infetti, Parrot TDS utilizza uno script PHP iniettato installato sul sito compromesso per raccogliere informazioni sul client e trasmettere la richiesta al server di comando e controllo (C2), permettendo all’attaccante di eseguire codice arbitrario. Il server C2 risponde con codice JavaScript che viene eseguito sul sistema della vittima e potenzialmente espone a ulteriori rischi. È stata anche scoperta una web shell che fornisce all’avversario un accesso remoto persistente al server web insieme allo script PHP backdoor malevolo. Il payload è il NetSupport Client RAT impostato per funzionare in modo furtivo, concedendo accesso alla macchina compromessa. La web shell menzionata viene ulteriormente copiata in più posizioni con nomi quasi identici — da cui l’origine del nome “parroting” del TDS.
Gli operatori di Parrot TDS concentrano il loro interesse malevolo sullo sfruttamento di server che ospitano siti web basati su WordPress e Joomla, a differenza del suo predecessore dall’inizio dell’autunno 2020, il TDS etichettato Prometheus. Nella kill chain del Prometheus TDS, gli attori delle minacce hanno utilizzato email di spam con un allegato HTML, un URL di Google Docs o un collegamento a una web shell ospitata su un server hackerato per avviare un processo nefasto. Un URL malevolo portava le vittime a una backdoor PHP di Prometheus che raccoglieva le informazioni necessarie e le inviava al pannello di amministrazione per permettere agli attori delle minacce dietro gli attacchi di decidere se fornire malware direttamente all’utente o deviarlo su un altro URL impostato dagli hacker.
Segui gli aggiornamenti del blog di SOC Prime per conoscere i temi caldi più recenti sulla cybersecurity e migliorare le tue abilità di caccia alle minacce. Sei desideroso di condividere il tuo contenuto di rilevazione con la più grande comunità di difesa informatica del mondo? Ricercatori di cybersecurity e autori di contenuti di tutto il globo sono fortemente invitati a contribuire alla difesa informatica collaborativa, guadagnare ricompense ricorrenti e combattere contro minacce attuali ed emergenti.
