Site icon Sophos News

Un esame approfondito della minaccia informatica Pikabot

È stato recentemente scoperto un nuovo e insidioso trojan malware chiamato Pikabot, il quale rappresenta una minaccia significativa per la sicurezza informatica. Questa sofisticata forma di malware è emersa all’inizio del 2023, catturando l’attenzione degli esperti di sicurezza. Con l’aggiornamento di giugno di Sophos NDR, è stata introdotta una potente funzionalità di machine learning che permette di individuare il traffico crittografato associato alle comunicazioni sospette di Pikabot. Questo avanzato sistema di rilevamento è stato implementato con successo nei sensori di Sophos NDR, senza richiedere ulteriori aggiornamenti.

Come funziona Pikabot

Il funzionamento di Pikabot si basa su una struttura modulare, composta da un loader e un modulo centrale, che lavorano in sinergia per portare a termine le sue attività dannose. L’obiettivo principale di Pikabot è creare una backdoor all’interno dei sistemi compromessi, permettendo agli attaccanti di ottenere accesso remoto non autorizzato.

Il malware riceve istruzioni da un server di comando e controllo (C2), che può inviare comandi che spaziano dall’iniezione di shellcode, DLL o file eseguibili arbitrari, fino alla distribuzione di strumenti dannosi aggiuntivi, come il noto Cobalt Strike. Questo suggerisce che Pikabot potrebbe essere coinvolto in attacchi sofisticati e multilivello.

La gamma di comandi eseguibili da Pikabot è estremamente ampia e pericolosa. Tra le sue funzionalità, è in grado di eseguire istruzioni di shell, recuperare ed eseguire file EXE o DLL, inviare informazioni dettagliate sul sistema compromesso, modificare l’intervallo di check-in con il server di comando e controllo e persino eseguire un comando “destroy” (che, però, al momento non sembra essere stato implementato).

La distribuzione

Quanto alla sua modalità di diffusione, gli esperti hanno inizialmente ipotizzato che Pikabot fosse distribuito attraverso il noto trojan Qakbot. Tuttavia, non è ancora stato possibile determinare con certezza i meccanismi esatti di diffusione utilizzati da Pikabot, ma ci sono evidenti somiglianze con le campagne di Qakbot riscontrate in precedenza.

Il modus operandi di Pikabot

La struttura modulare di Pikabot consente ad esso di svolgere diverse attività dannose. Benché il componente loader abbia funzionalità limitate, il modulo centrale è quello in cui si svolge la vera e propria azione. Pikabot utilizza un iniettore per eseguire test anti-analisi prima di decifrare e iniettare il payload del modulo centrale. Se uno di questi test fallisce, Pikabot interrompe la sua esecuzione, rendendo difficile per i ricercatori analizzare e interpretare le sue azioni.

In termini di tecniche anti-analisi, Pikabot controlla la presenza di debugger, breakpoint e informazioni di sistema. Utilizza strumenti pubblici come ADVobfuscator per l’offuscamento delle stringhe e dispone di numerosi metodi per rilevare ambienti sandbox, debug e altri tentativi di analisi.

Il payload del modulo principale è abilmente crittografato e memorizzato in immagini PNG. Queste immagini vengono decifrate utilizzando una chiave a 32 byte codificata e i dati decifrati vengono ulteriormente elaborati utilizzando AES (modalità CBC). Il payload viene quindi iniettato in un processo specifico come WerFault, con Pikabot che imposta alcuni flag per proteggere il processo iniettato da binari Microsoft non firmati.

Risultati interessanti

Una delle caratteristiche intriganti di Pikabot è la sua autoterminazione se la lingua del sistema è il georgiano, il kazako, l’uzbeko o il tagico. Ciò suggerisce che gli autori potrebbero evitare deliberatamente i sistemi in regioni geografiche specifiche. Inoltre, Pikabot sembra essere nelle sue prime fasi di sviluppo, come suggerisce il suo numero di versione (0.1.7) trovato nella sua comunicazione iniziale con il server C2.

Ci sono anche notevoli somiglianze tra Pikabot e un’altra famiglia di malware, Matanbuchus. Entrambi sono scritti in C/C++, utilizzano una ripartizione dei componenti loader/core, impiegano JSON+Base64+crypto per il traffico e fanno largo uso di stringhe hardcoded. Queste somiglianze fanno pensare a un potenziale collegamento tra le due famiglie di malware.

L’infrastruttura C2 di Pikabot

Con l’aggiornamento di giugno 2023 di Sophos NDR, abbiamo aggiunto un modello CNN per rilevare Pikabot e abbiamo già scoperto una serie di nuovi server C2:

IP PORT Virus Total JARM
192[.]9[.]135[.]73 1194 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
185[.]87[.]148[.]132 1194 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
45[.]154[.]24[.]57 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
45[.]85[.]235[.]39 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
129[.]153[.]135[.]83 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
193[.]122[.]200[.]171 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
104[.]233[.]193[.]227 2078 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
94[.]199[.]173[.]6 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
132[.]148[.]79[.]222 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
38[.]54[.]33[.]239 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
144[.]172[.]126[.]136 2222 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
129[.]80[.]164[.]200 32999 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2
129[.]153[.]22[.]231 32999 Link 21d19d00021d21d21c21d19d21d21dd188f9fdeea4d1b361be3a6ec494b2d2

 

NOTE: Le informazioni di VirusTotal relative ai rilevamenti di Sophos registrano un lieve ritardo.

Exit mobile version