Recenti analisi nel campo della cybersecurity hanno messo in luce due minacce significative: l’uso di backdoor abbandonate per accedere illegalmente a sistemi già compromessi e la sofisticata campagna di phishing chiamata “Butcher Shop”, che prende di mira account Microsoft 365 e settori critici come legale, governativo e costruzioni.
Backdoor abbandonate: una minaccia sottovalutata
Molte backdoor distribuite attraverso web shell come r57shell e c99shell, utilizzate inizialmente per accedere a reti compromesse, rimangono operative anche dopo l’abbandono da parte degli attaccanti originali. Questo fenomeno ha permesso a nuovi hacker di sfruttare queste infrastrutture con metodi semplici ma devastanti.
Le ricerche hanno identificato oltre 4.000 backdoor attive in sistemi governativi, educativi e aziendali, grazie all’acquisizione di domini scaduti utilizzati come callback per le web shell. Questo processo permette agli attaccanti di:
- Ottenere accesso remoto senza ulteriori exploit.
- Monitorare e sfruttare reti già compromesse per attacchi futuri.
Un esempio emblematico è il recupero di domini abbandonati che puntano a server utilizzati in precedenza da operatori malevoli. Gli hacker possono quindi sfruttare questi domini per rientrare nelle reti o compromettere ulteriormente i sistemi collegati.
La campagna di phishing “Butcher Shop”: un attacco mirato e sofisticato
L’operazione “Butcher Shop”, scoperta a settembre 2024, rappresenta un’evoluzione nei metodi di phishing avanzati. Questa campagna prende di mira account Microsoft 365 in settori strategici come legale, governativo e costruzioni, utilizzando tecniche per superare le difese tradizionali.
Gli attaccanti si affidano a strumenti di offuscamento come:
- Redirect attraverso servizi affidabili: Canva e Dropbox vengono usati per mascherare i link malevoli, rendendo le e-mail di phishing più credibili.
- Cloudflare Turnstiles: Introduzione di verifiche umane per eludere sistemi di rilevamento automatico.
- JavaScript dinamico: File caricati da CDN come Tencent Cloud costruiscono pagine di phishing direttamente nel browser, semplificando il furto delle credenziali.
Un elemento distintivo della campagna è la rotazione rapida dei domini. Gli hacker utilizzano oltre 200 domini e 400 URL unici, rendendo difficile il blocco automatico da parte di sistemi di sicurezza come ESG (Email Security Gateway). L’impatto di questa campagna è aggravato dalla sua capacità di adattarsi rapidamente, aumentando il rischio per organizzazioni con protezioni insufficienti.
Le minacce derivanti da backdoor abbandonate non gestite e campagne di phishing come “Butcher Shop” richiedono una risposta proattiva e innovativa. Le aziende devono adottare strumenti di rilevamento avanzati, monitorare attentamente l’infrastruttura tecnologica e formare i dipendenti per riconoscere minacce sofisticate.
