- admin
Lucifer: il cryptominer espande le proprie funzionalità (AL02/200921/CSIRT-ITA)

Descrizione e potenziali impatti
Facendo seguito ad una precedente comunicazione, si rappresenta che, nell’ambito dell’analisi della campagna finalizzata alla diffusione del malware Lucifer, sono state rilevate nuove funzionalità e correlazioni.
Lucifer è un cryptominer con capacità di autodiffusione che, in un primo momento, prendeva di mira solo sistemi Windows e che, attualmente, è in grado di colpire anche sistemi Linux e dispositivi IoT.
La campagna risulta essere in continua evoluzione; dopo i primi tracciamenti, i ricercatori di Check Point hanno correlato Lucifer ad altre due campagne, note come BlackSquid e Rudeminer/Spreadminer, attive a partire da giugno 2019, grazie a due wallet della criptovaluta Monero utilizzati dagli attaccanti. Sulla base delle informazioni raccolte, è emerso che la campagna ha colpito oltre 25 organizzazioni nell’ambito dei settori manifatturiero, legale e assicurativo.
Le capacità del malware sono molteplici. Lo stesso, infatti, è in grado di:
scaricare ed eseguire file nei sistemi compromessi;
fare mining di Monero utilizzando XMRig;
consentire di lanciare diverse tipologie di attacchi DDoS.
L’attacco ai dispositivi IoT da parte di Lucifer è avvenuto attraverso l’exploit della vulnerabilità CVE-2018-10561 che impatta i dispositivi router Dasan GPON non aggiornati.
Azioni consigliate
Si consiglia di:
applicare gli aggiornamenti e le patch ai software interessati, inclusi Rejetto File Server HTTP, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework e Microsoft Windows;
utilizzare credenziali complesse per proteggersi da attacchi di tipo brute-force;
valutare l’implementazione degli Indicatori di Compromissione (IoC), riportati nel file di seguito, sui propri apparati di sicurezza.
Riferimenti
https://research.checkpoint.com/2020/rudeminer-blacksquid-and-lucifer-walk-into-a-bar/
Fonte: CSIRT Nazionale