Domini abbandonati rivendicati per esporre 4.000 backdoor nascoste su sistemi compromessi

I criminali informatici spesso sfruttano le backdoor, gateway nascosti progettati per aggirare le misure di sicurezza tradizionali, per mantenere l'accesso ai sistemi compromessi. In un sorprendente colpo di scena, i ricercatori di sicurezza informatica hanno dimostrato come infrastrutture abbandonate, come domini scaduti, possono essere recuperate per dirottare queste backdoor, ribaltando di fatto la situazione a danno degli aggressori.

WatchTowr Labs ha recentemente rivelato di essere riuscita a ottenere il controllo su 4.000 backdoor web uniche acquistando più di 40 nomi di dominio scaduti per soli $20 ciascuno. Questa iniziativa evidenzia sia i pericoli delle infrastrutture digitali abbandonate sia le opportunità di interrompere attività dannose.

Come i domini scaduti sono diventati un gateway

Le backdoor in questione, molte delle quali distribuite tramite web shell, si basavano su nomi di dominio specifici per la comunicazione di comando e controllo (C2). Quando questi domini sono scaduti o sono stati abbandonati dai loro proprietari originali, WatchTowr Labs li ha acquisiti e ha reindirizzato il traffico ai loro server, "sprofondando" di fatto nell'infrastruttura dannosa.

Ciò ha permesso ai ricercatori di:

  1. Monitoraggio dell'attività di beaconing : gli host compromessi sono stati "segnalati" nei nuovi domini controllati.
  2. Mappare la portata del compromesso : identificare migliaia di sistemi interessati, tra cui enti governativi e accademici.
  3. Comandare ipoteticamente i sistemi : teoricamente, avrebbero potuto assumere il controllo totale sugli host compromessi, sebbene i protocolli etici impedissero tali azioni.

Le vittime delle backdoor dirottate

Tra i sistemi compromessi identificati c'erano:

  • Enti governativi in Bangladesh, Cina e Nigeria .
  • Istituzioni accademiche in Cina, Corea del Sud e Thailandia .

Questo compromesso diffuso sottolinea la portata globale di tali campagne backdoor e le gravi implicazioni derivanti dal non mantenere infrastrutture digitali critiche.

L'arsenale di Web Shell

Le backdoor variavano in complessità e funzionalità. Alcune delle web shell più notevoli osservate includevano:

  • Semplici Web Shell PHP : in grado di eseguire singoli comandi forniti dagli aggressori.
  • c99shell e r57shell : strumenti avanzati per eseguire comandi arbitrari, operazioni sui file e distribuire payload aggiuntivi. Includevano persino funzionalità per forzare brutamente i server FTP o auto-rimuoversi dopo l'uso.
  • China Chopper : uno strumento leggero ma potente, preferito dai gruppi APT (Advanced Persistent Threat), in particolare quelli legati alla Cina.

Sfruttare le backdoor all'interno delle backdoor

È interessante notare che WatchTowr Labs ha anche scoperto casi in cui le web shell stesse erano state sottoposte a backdoor dai loro creatori. Queste modifiche hanno inavvertitamente fatto trapelare informazioni sulle loro posizioni, consentendo ad altri attori della minaccia di prendere il controllo dei sistemi compromessi.

I rischi dei domini abbandonati

Non è la prima volta che WatchTowr Labs dimostra i potenziali rischi di infrastrutture abbandonate. In precedenza, la società aveva acquistato un dominio server WHOIS legacy per il dominio di primo livello (TLD) .mobi. Nonostante la migrazione a un nuovo server, oltre 135.000 sistemi univoci hanno continuato a comunicare con il vecchio dominio, esponendo sistemi sensibili appartenenti ad aziende private, agenzie governative e organizzazioni militari in tutto il mondo.

Anche gli aggressori commettono errori

Il successo di questa operazione serve da duro promemoria del fatto che i criminali informatici non sono infallibili. Domini scaduti, vulnerabilità non corrette e sistemi mal mantenuti sono vulnerabilità che possono colpire sia gli aggressori che i difensori.

Punti chiave per la sicurezza informatica

  1. Monitoraggio e rinnovo dei domini critici : le organizzazioni devono mantenere il controllo sui domini associati ai sistemi critici per impedirne l'uso improprio.
  2. Verificare l'infrastruttura legacy : assicurarsi che i vecchi sistemi, domini e servizi vengano dismessi in modo sicuro o migrati correttamente.
  3. Sinkholing come strategia difensiva : la ricerca etica e le iniziative di sinkholing possono aiutare a mitigare le minacce in corso provenienti da infrastrutture dannose abbandonate.
  4. Patch e backdoor sicure : gli aggressori spesso riutilizzano gli stessi strumenti. Rileva e neutralizza le web shell per impedire lo sfruttamento successivo.

Conclusione

L'hijacking di 4.000 backdoor tramite domini scaduti rivela sia la persistenza delle minacce legacy sia le soluzioni creative a disposizione dei professionisti della sicurezza informatica. Mentre l'operazione evidenzia una vulnerabilità critica nell'ecosistema digitale, dimostra anche il potenziale per interrompere campagne dannose tramite contromisure strategiche.

Le organizzazioni devono dare priorità alla gestione proattiva dell'infrastruttura e rimanere vigili per evitare di diventare vittime della propria supervisione. Nella lotta contro la criminalità informatica, anche le risorse abbandonate possono essere la chiave per riprendere il controllo.

Entro il Zane
January 14, 2025
Computer Security
Italiano
January 14, 2025
Computer Security

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.