Allarme Silent Bob: il malware che prende di mira i servizi cloud

Grazie a una ricerca di Aqua Security, è stata individuata una serie di test effettuate dal noto gruppo di cybercriminali TeamTNT.

Questo, a quanto pare, sta facendo prove per testare eventuali vulnerabilità degli ambienti cloud, attraverso un worm chiamato Silent Bob. Tra i servizi e le applicazioni prese di mira da TeamTNT figurano servizi e applicazioni come Tomcat, Nginx, PostgreSQL e SSH.

Gli esperti di Aqua hanno affermato come “sulla base della nostra ricerca, abbiamo individuato che questa botnet scansiona perennemente Internet, di conseguenza, ogni indirizzo IP viene sottoposto a scansione almeno una volta ogni ora. Abbiamo scoperto che il tasso di infezione è abbastanza rapido, con un minimo di due nuove vittime che emergono all’ora“.

La campagna appena individuata, presenta diverse somiglianze con tattiche e tecniche già adottate da TeamTNT. Tra i “marchi di fabbrica” del gruppo, infatti, figura l’uso di determinati script, l’integrazione di un malware chiamato Tsunami e l’utilizzo di porzioni di codice già incluso in altri attacchi.

Silent Bob è un worm che agisce nel contesto di servizi e app cloud

I già citati ricercatori hanno affermato come “date le specifiche tattiche, tecniche e procedure (TTP) osservate, crediamo fermamente che l’infrastruttura per questa operazione sia stata creata nientemeno che dal gruppo di criminali informatici noto come TeamTNT. In alternativa, potrebbe essere un imitatore che non solo emula il loro codice, ma riproduce anche il loro grado di raffinatezza, affinità per la lingua olandese e un certo senso dell’umorismo“.

Aqua, però, non si è limitata ad esaminare Silent Bob dall’esterno. I ricercatori hanno ottenuto l’accesso al server C2 degli aggressori, per poter esaminare più da vicino il loro operato. In questo contesto, sono stati in grado di identificare molti script e funzionalità legate al worm, potendo comprendere in maniera approfondita come funziona questo agente malevolo.

Secondo gli stessi “questa botnet è particolarmente aggressiva, prolifera rapidamente nel cloud e prende di mira un’ampia gamma di servizi e applicazioni all’interno del ciclo di vita dello sviluppo del software (SDLC). Funziona a una velocità impressionante, dimostrando una notevole capacità di scansione. La botnet è progettata per comunicare con un server C2 centrale per determinare il prossimo intervallo di indirizzi IP da scansionare“.