Sviluppare nuove varianti botnet è sempre più veloce

Il malware Golang prende di mira i sistemi IoT esposti.

botnet

Secono Nozomi Networks Labs le botnet derivate da Mirai si caratterizzano per il cambiamento rapido con cui oggi sviluppano e distribuiscono nuove varianti. L’uso di Golang, di componenti open-source riutilizzabili, di infrastrutture standard e dell’automazione ha ridotto drasticamente lo sforzo necessario per creare malware DDoS funzionali. Consentendo agli attori delle minacce di assemblare e perfezionare le botnet con velocità sempre maggiore.

I due campioni esaminati

I laboratori hanno esaminato due campioni di malware basati su Golang individuati sul campo la scorsa primavera, Apex2 e c2c/meow, che illustrano questa tendenza da due diverse prospettive. Apex2 rappresenta l’evoluzione più strutturata di una botnet esistente che prende di mira sia macchine Windows che Linux. Mentre c2c dimostra come componenti relativamente combinati danno vita a una campagna operativa di successo. In entrambi i casi, il focus della minaccia non è posto sulla sofisticazione, bensì su velocità, riutilizzo e scalabilità.

Una ricerca sui botnet

Per i difensori, l’implicazione è evidente: i metodi di rilevamento e risposta devono tenere il passo con cicli di sviluppo del malware e di weaponization degli exploit sempre più rapidi. Le organizzazioni si aspettano un flusso costante di botnet semplici ma efficaci pronte a colpire sistemi Linux e IoT esposti. In particolare dove persistono credenziali deboli, servizi aperti su Internet e una visibilità limitata sul traffico in uscita. Tecniche di analisi scalabili, che includano automazione, machine learning e modelli linguistici di grandi dimensioni (LLM), sono essenziali per classificare grandi volumi di campioni. Oltre a identificare le deviazioni dalle famiglie note e tradurre rapidamente l’analisi in regole di rilevamento azionabili.

Una nuova ondata di malware

La passata primavera ha registrato una nuova ondata di malware IoT mirata a colpire i dispositivi esposti per riconvertirli in strumenti per attività DDoS. Assistiti dall’intelligenza artificiale, i sistemi di monitoraggio e ricerca di Nozomi Networks esaminano le attività degli honeypot per evidenziare i campioni che si differenziano dalla quantità di varianti simili a Mirai già tracciate. Sono emerse due famiglie sviluppate su Golang che illustrano questa tendenza generale. Gli aggressori creano botnet funzionali più rapidamente. Mentre i difensori hanno bisogno di metodi scalabili per scovare i campioni anomali, comprendere cosa sia cambiato e tradurre tali scoperte in flussi di lavoro ripetibili di rilevamento e risposta.

Apex2: una botnet IoT in costante evoluzione

Tra i campioni ricevuti quotidianamente, ne è emerso uno che, al momento del rilevamento, si differenziava a sufficienza dalle famiglie già monitorate. Una volta ottenuto il campione, identificarlo come Apex2 è semplice. Al di là del nome, le somiglianze strutturali tra Apex e questo campione indicano che Apex2 è un’evoluzione diretta del suo predecessore.

c2c/meow: un flooder generico in Golang

Il sistema di machine learning ha avvisato della presenza di un altro malware basato su Golang che aveva raggiunto uno degli honeypot SSH. All’epoca, il campione non presentava rilevamenti di nocività su VirusTotal, motivo per cui è stato necessario approfondire l’indagine. Rispetto ad Apex2, questo malware si presenta come una botnet autonoma più semplice. Invece di ricorrere a tecniche di evasione avanzate o a infrastrutture complesse, i suoi operatori hanno unito uno scanner, una logica C2 di base, meccanismi di persistenza e moduli di flooding configurabili all’interno di una campagna attiva.

Le varianti di botnet: sempre più rapide

In sostanza, Apex2 e c2c/meow mostrano due facce di una stessa medaglia: lo sviluppo di botnet IoT sta diventando più rapido, modulare e facile da rendere operativo. Apex2 riflette l’evoluzione più strutturata di una botnet esistente. Mentre c2c/meow dimostra come componenti più semplici possano comunque essere assemblati in una campagna efficace quando vi è disponibilità di servizi esposti e credenziali deboli.

La lezione fondamentale per chi si occupa di difesa è che la sofisticazione non è l’unico parametro di valutazione del rischio. Anche un malware relativamente semplice può avere un impatto significativo quando viene distribuito su larga scala. Di conseguenza, le organizzazioni dovrebbero combinare analisi automatizzata, rilevamento comportamentale, igiene delle credenziali e riduzione dell’esposizione per tenere il passo con il volume e la velocità dei nuovi malware per Linux e IoT.