No, no parliamo delle innumerevoli crisi che affliggono il nostro continente, ma solo dell’insorgere di una nuova variante del famigerato malware denominato “Kaiji”, una variante modulare battezzata “Chaos” (che però non ha alcun riferimento o connessione con ransomware che ha il medesimo nome), una versione che potremmo a tutti gli effetti considerare un aggiornamento del precedente. 

L’obiettivo di questa nuova variante è per ora l’Europa. 

Come descritto da vari ricercatori, questa variante prende di mira non solo obiettivi nel territorio Europeo, ma estende il suo interesse sia a vittime operanti con sistema Windows che Linux, che siano in ambiente industriale oppure no (utenza casalinga). 

Chaos è capace di comunicare con una C2 (da cui ottiene comandi ma anche nuovi moduli) per l’esecuzione di tutta una serie di attività, ivi compreso il lancio di campagne DDoS (Distribuited Denial of Service) e mining di cryptovalute. 

L’affermazione è un po’ forte, certamente, ma è frutto delle osservazioni di un nuovo rapporto di threat intelligence redatto da CrowdStrike, o meglio dal suo team di threat hunting “Falcon OverWatch”, il “Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report”. 

Dal punto di vista del gruppo di difesa, per un periodo di un intero anno, si è reso evidente una crescente tendenza da parte degli aggressori all’utilizzo di strategie di attacco frontali e laterali per le reti eventualmente compromesse. Si tratta evidentemente di una opportunità tattica indotta dall’enorme mole di vulnerabilità che sommergono le infrastrutture delle organizzazioni oggetto di minaccia. 

Il malware non cade certo in disuso per inefficienza o per altri motivi strategici: è più un motivo tattico, indotto dalla semplicità di approfittare delle condizioni di inferiorità dell’obiettivo attraverso altre strategie di attacco più immediate: è questo che contribuisce alla decrescita nell’uso del malware. Basta considerare il prolifico mondo della compravendita su forum criminali di credenziali di accesso perfettamente funzionanti. 

Chiunque si interessi di ethical hacking sarà venuto a contatto con uno strumento di estremo interesse quale Impacket, progetto open source di SecureAuth (dal 2017 fusa con Core Security e dal 2019 entrambe in HelpSystem, produttrice di Cobalt Strike, discusso software di penetration test, apparentemente molto amato anche dagli agenti di minaccia). 

Ebbene, lo stesso destino di critiche può essere intravisto anche per lo strumento più primitivo quale Impacket, ad oggi sempre più visibile nelle tracce lasciate da agenti di minaccia durante le loro scorribande. 

Ma cosa è Impacket. Come premesso si tratta di un progetto open source, ovvero essenzialmente una raccolta di moduli Python, capace di agire su un considerevole insieme di protocolli di rete. Nulla di particolarmente interessante se non fosse per tutti quei protocolli che invece consentono attività su sistema remoto quali esecuzione codice, scarico delle credenziali, sniffing di pacchetti e la manipolazione di protocolli di autenticazione come Kerberos.

Con la Patch Tuesday di settembre, Microsoft ha posto rimedio a ben 62 vulnerabilità molto gravi, 57 importanti e 5 critiche, senza considerare il più generico problema derivante dalla CVE-2022-23960 relativa ai processori ARM (Cortex e Neoverse), un problema derivante dal mancato limite imposto alla speculazione della cache in queste CPU (Spectre-BHB), cosa che consente ad un utente malintenzionato di sfruttare la cronologia nel ramo condiviso nel Branch History Buffer, ottenendone così informazioni riservate, Si tratta comunque di una vulnerabilità dalla gravità media (CVSS 5.6) che può affliggere indirettamente sistemi Windows non aggiornati quando eseguiti su tali CPU. 

Tornando ai problemi strettamente di casa Microsoft, questi colpiscono, come è solito, un gran numero di software e prodotti della casa di Redmond.