Gli esperti di Symantec hanno scoperto una serie di attacchi effettuati con la backdoor Merdoor contro diversi aziende asiatiche. Il malware è stato sviluppato dal gruppo Lancefly e utilizzato almeno dal 2018, ma non lascia molte tracce perché i cybercriminali scelgono pochi bersagli per le loro attività di cyberspionaggio.
Merdoor: potente backdoor per Windows
Merdoor viene installata come servizio, offre funzionalità di keylogging e comunica con il server C&C (command-and-control) tramite HTTP, HTTPS, DNS, UDP o TCP. Un file di configurazione specifica il metodo di comunicazione, i dettagli del servizio e la directory di installazione.
Al momento non è noto il vettore dell’infezione (forse phishing, furto di credenziali SSH o vulnerabilità dei server), ma i ricercatori di Symantec hanno scoperto che la backdoor viene distribuita tramite un archivio RAR autoestraente (SFX), in cui ci sono tre file: una DLL legittima vulnerabile, il loader di Merdoor e il payload finale. Il loader inietta la backdoor in processi Windows (perfhost.exe
o svchost.exe
) oppure sfrutta la tecnica DLL sideloading.
Merdoor può effettuare il dump della memoria LSASS, creare attività pianificate per l’accesso remoto via SMB e cifrare i file prima dell’esfiltrazione. In un recente attacco è stato usato anche il rootkit ZXShell che può installare driver, modificare il registro di Windows e creare servizi.
La scelta dei target e il numero limitato di attacchi rendono più difficile la rilevazione della backdoor. Al momento risulta praticamente invisibile alle principali soluzioni di sicurezza.