I sistemi Linux sono presi di mira da una recente campagna di malware, conosciuta come “Sindoor Dropper”, che si avvale di tecniche di spear-phishing avanzate e di un processo di infezione complesso. Le vittime vengono ingannate con esche legate al conflitto recente tra Pakistan e India, conosciuto come Operazione Sindoor, spingendole a lanciare file nocivi.

Secondo l’analisi del sistema Nextron, una volta eseguito, apre un PDF benigno per mantenere l’illusione di legittimità, mentre avvia silenziosamente in background un processo di infezione complesso e fortemente offuscato. Questo processo è progettato per eludere sia l’analisi statica che quella dinamica: il payload iniziale, al momento della sua scoperta, non ha avuto alcun rilevamento su VirusTotal.

La caratteristica distintiva di questa attività è il suo ricorso a .desktopfile, un metodo precedentemente associato al gruppo APT36, noto anche come Transparent Tribe o Mythic Leopard, che si occupa di minacce persistenti avanzate. L’attacco inizia quando un utente apre un .desktopfile dannoso, denominato “Note_Warfare_Ops_Sindoor.pdf.desktop“, che si spaccia per un normale documento PDF.

Il decryptor, un binario Go compresso con UPX, viene intenzionalmente corrotto rimuovendo i suoi magic byte ELF, probabilmente per bypassare le scansioni di sicurezza su piattaforme come Google Docs. Il .desktopfile ripristina questi byte sul computer della vittima per rendere nuovamente eseguibile il binario. Il .desktopfile scarica diversi componenti, tra cui un decryptor AES ( mayuw) e un downloader crittografato ( shjdfhd).

Il payload finale è una versione riadattata di MeshAgent, uno strumento di amministrazione remota open source legittimo. Una volta implementato, MeshAgent si connette a un server di comando e controllo (C2) ospitato su un’istanza EC2 di Amazon Web Services (AWS) all’indirizzo wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx.

Questo avvia un processo in più fasi in cui ogni componente decifra ed esegue il successivo. La catena include controlli anti-macchina virtuale di base, come la verifica dei nomi delle schede e dei fornitori, l’inserimento nella blacklist di specifici prefissi di indirizzi MAC e il controllo del tempo di attività della macchina.

Tutte le stringhe all’interno dei dropper vengono offuscate utilizzando una combinazione di codifica Base64 e crittografia DES-CBC per ostacolare ulteriormente l’analisi. Ciò fornisce all’aggressore l’accesso remoto completo al sistema compromesso, consentendogli di monitorare l’attività dell’utente, spostarsi lateralmente sulla rete ed esfiltrare dati sensibili, ha affermato Nextron .

La campagna Sindoor Dropper evidenzia un’evoluzione nelle tecniche di attacco degli autori delle minacce, dimostrando una chiara attenzione agli ambienti Linux, meno presi di mira dalle campagne di phishing.

L'articolo Linux colpito da Sindoor Dropper: infection chain altamente offuscata proviene da il blog della sicurezza informatica.