Il Rootkit Purple Fox Ora Acquisisce Capacità di Diffusione Worm
Indice:
Gli analisti della sicurezza di Guardicore Labs hanno recentemente rilevato una nuova variante del famigerato rootkit Purple Fox, che ora si propaga come un worm sui computer Windows. Questo ultimo aggiornamento del malware porta a un aumento significativo delle infezioni di Purple Fox, mostrando un incremento del 600% dalla primavera del 2020. Questa campagna in corso si basa fortemente sulla scansione delle porte e sui servizi SMB scarsamente protetti, evidenziando il passaggio degli operatori del malware dalle funzioni di exploit kit.
Panoramica sul Rootkit Purple Fox
Purple Fox è un downloader malware senza file potenziato con capacità di rootkit e backdoor. Dalla sua comparsa nel 2018, la minaccia è stata attivamente utilizzata dagli aggressori per distribuire vari Trojan, cryptominer, strain rubadati e campioni di ransomware.
Inizialmente, il malware si basava principalmente su noti exploit di Microsoft (CVE-2020-0674, CVE-2019-1458, CVE-2018-8120, CVE-2015-1701) e email di phishing per la distribuzione del malware. Tuttavia, a maggio 2020, Purple Fox ha acquisito capacità simili a worm per infettare i sistemi senza alcuna interazione dell’utente o strumenti aggiuntivi. Ora può propagarsi sui sistemi Windows attraverso attacchi di forza bruta SMB e infettare rapidamente migliaia di dispositivi.
Una volta infetto, il malware utilizza il suo modulo rootkit per nascondere le attività dannose, rilascia malware aggiuntivi sull’host e procede con i suoi tentativi di forza bruta. I Guardicore Labs rapporto stimano che gli operatori di Purple Fox abbiano effettuato oltre 90.000 attacchi riusciti entro marzo 2021.
Nuova Catena di Attacco
La catena d’infezione inizia tradizionalmente con un’email di phishing che consegna un nuovo ceppo di Purple Fox simile a un worm mascherato da pacchetto di aggiornamento di Windows. Nel caso in cui gli utenti siano ingannati ad avviare l’eseguibile allegato, un installer MSI dedicato scarica tre payload da un server Windows compromesso per eseguire funzioni di elusione, scansione delle porte e persistenza. Dopo che l’esecuzione del codice è stata effettuata sull’host compromesso, il malware blocca le porte 445, 139, 135 per prevenire una reinfezione, genera intervalli di IP e inizia a scansionare la porta 445 per identificare dispositivi vulnerabili con servizi SMB esposti a internet. Se rilevati, Purple Fox esegue un attacco di forza bruta SMB per infettare nuovi dispositivi e propagarsi ulteriormente.
È significativo che i ricercatori della sicurezza abbiano identificato quasi 3.000 server Microsoft compromessi da Purple Fox per ospitare i suoi dropper ed eseguibili dannosi. La maggior parte dei server esegue versioni obsolete di IIS 7.5 e Microsoft FTP che a quanto si dice hanno molteplici vulnerabilità di sicurezza.
Rilevamento di Purple Fox
Per difendersi contro la nuova versione del malware Purple Fox, è possibile scaricare una regola Sigma della comunità sviluppata dal nostro intraprendente sviluppatore Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/kFqJgcTCHaf3/Nh_KiHgBFLC5HdFVUJe4
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tattiche: Persistenza, Escalation dei Privilegi
Tecniche: Nuovo Servizio (T1050)
Iscriviti al Detection Marketplace, una piattaforma leader mondiale del Detection as Code in grado di potenziare le tue capacità di difesa informatica. La nostra libreria di contenuti SOC contiene oltre 100K regole di rilevazione e risposta, parser, query di ricerca e altri contenuti collegati ai framework CVE e MITRE ATT&CK® per aiutarti a resistere al crescente numero di cyber-attacchi. Vuoi tenerti aggiornato sulle ultime tendenze in cybersecurity e partecipare a attività di threat hunting? Unisciti al nostro Programma Threat Bounty!
