Un nuovo strumento di post-exploitation chiamato Splinter sta emergendo come una seria minaccia per gli ambienti IT aziendali. Secondo le recenti scoperte dei ricercatori di sicurezza di Unit 42 di Palo Alto Networks, questo malware sofisticato si sta infatti diffondendo nei sistemi di diverse organizzazioni, dimostrando capacità a dir poco allarmanti.

Splinter, sviluppato in Rust, si distingue per la sua versatilità nell’esecuzione di attività malevole post-intrusione. Tra le sue funzionalità più preoccupanti figurano l’esecuzione di comandi Windows, il furto di file, la raccolta di informazioni sugli account dei servizi cloud e la capacità di scaricare ulteriore malware sui sistemi compromessi. Ciò che rende Splinter particolarmente insidioso è la sua abilità di autoeliminarsi dopo aver compiuto le sue azioni, rendendo più difficile la sua individuazione e analisi.

Sebbene Splinter non raggiunga la sofisticazione di strumenti di post-exploitation più noti come Cobalt Strike, secondo gli esperti di Palo Alto Networks rappresenta comunque una minaccia significativa se utilizzato impropriamente. È importante notare che, a differenza di Cobalt Strike (uno strumento legittimo per il red-teaming spesso abusato da attori malevoli), l’origine e lo scopo originale di Splinter rimangono incerti.

Iniezione di processi remoti per eseguire payload aggiuntivi.

Iniezione di processi remoti per eseguire payload aggiuntivi.

Una caratteristica distintiva di Splinter è la sua dimensione eccezionalmente grande per un malware scritto in Rust, con campioni che raggiungono circa 7 MB a causa dell’uso estensivo di librerie esterne. Il malware utilizza inoltre un formato JSON per i suoi dati di configurazione, che includono dettagli cruciali come l’ID dell’impianto, l’ID dell’endpoint bersaglio e le informazioni sul server di comando e controllo (C2).

Una volta eseguito, Splinter stabilisce una connessione HTTPS con il server C2 utilizzando credenziali di login e inizia a eseguire i comandi dell’attaccante. Le sue capacità spaziano dall’esecuzione di comandi Windows all’iniezione di processi remoti, dal trasferimento di file alla raccolta di informazioni da account di servizi cloud.

Gli esperti di Palo Alto Networks consigliano di monitorare attentamente i sistemi per eventuali indicatori di compromissione associati a Splinter, inclusi gli hash dei campioni e i percorsi URL utilizzati per la comunicazione con il server C2.