Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Squidoor: un’analisi della backdoor cinese che minaccia le organizzazioni globali

Sandro Sana : 7 Marzo 2025 17:19

Dal marzo 2023, un sospetto gruppo APT (Advanced Persistent Threat) di origine cinese ha iniziato a prendere di mira vari settori critici a livello globale, con particolare attenzione a governi, difesa, telecomunicazioni, aviazione ed educazione nel Sud-Est asiatico e in Sud America. Questo attore malevolo ha dimostrato capacità avanzate di attacco grazie all’impiego di Squidoor, una backdoor sofisticata e modulare progettata per operare in modo furtivo su sistemi Windows e Linux.

L’attacco, come evidenziato dalla mappatura delle connessioni di Threat Intelligence (vedi immagine allegata), mostra un’infrastruttura articolata, con l’uso di molteplici tecniche di persistenza e di esfiltrazione dei dati. Un’analisi dettagliata su questa minaccia è disponibile nel report pubblicato da Palo Alto Networks Unit 42, consultabile al seguente link: Unit 42 – Advanced Backdoor Squidoor. In questo articolo analizzeremo in dettaglio il funzionamento di Squidoor, le sue tecniche di evasione, i vettori di infezione e le contromisure necessarie per difendersi da questa minaccia.

Le caratteristiche tecniche di Squidoor

Squidoor non è una semplice backdoor, ma un sistema modulare avanzato che sfrutta diversi protocolli di comunicazione per mantenere l’accesso ai sistemi compromessi senza destare sospetti. Tra questi protocolli troviamo:

  • Outlook API: Il malware utilizza l’API di Outlook per trasmettere comandi e dati al server di comando e controllo (C2). Questo approccio rende difficile il rilevamento, poiché il traffico appare come normale comunicazione email.
  • Tunneling DNS: Squidoor può sfruttare richieste DNS per inviare dati ai server C2, eludendo firewall e sistemi di monitoraggio del traffico.
  • Tunneling ICMP: L’uso di pacchetti ICMP (tipicamente impiegati per il ping) consente al malware di stabilire canali di comunicazione nascosti, complicando ulteriormente il rilevamento.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Oltre a queste capacità, Squidoor implementa sofisticate tecniche di offuscamento del codice (MITRE ATT&CK T1027), rendendo difficile la sua analisi e individuazione da parte dei sistemi di difesa tradizionali.

    Le tecniche di infezione e persistenza

    L’attacco inizia con la compromissione di server Microsoft Internet Information Services (IIS). Gli aggressori sfruttano vulnerabilità note per ottenere accesso iniziale e poi installano web shell offuscate, che garantiscono un accesso persistente ai sistemi infetti.

    Queste web shell si caratterizzano per l’uso di chiavi di decrittazione simili e una struttura del codice che suggerisce una matrice comune. L’obiettivo è mantenere il controllo della macchina infetta, consentendo l’esecuzione di comandi remoti e l’esfiltrazione di dati sensibili.

    Dalla mappatura delle connessioni di Threat Intelligence (vedi immagine), emergono diversi indirizzi IP e domini malevoli associati alla campagna, tra cui:

    • 104.244.72.123
    • update.hciiter.com
    • support.vmphere.com
    • microsoft-beta.com
    • zimbra-beta.info

    Questi domini vengono utilizzati per le comunicazioni C2, permettendo agli attori della minaccia di eseguire operazioni di controllo e gestione dei dispositivi compromessi.

    Le implicazioni per la sicurezza e le contromisure

    L’uso di Squidoor rappresenta una minaccia significativa per le organizzazioni colpite, sia per la sua capacità di operare sotto traccia sia per la varietà di vettori di attacco impiegati. La capacità del malware di sfruttare protocolli legittimi come l’Outlook API e il DNS tunneling rende difficile il rilevamento mediante strumenti di sicurezza tradizionali.

    Per proteggersi da questa minaccia, le organizzazioni devono adottare un approccio proattivo che includa:

    • Aggiornamento e patching: Garantire che i sistemi, in particolare i server IIS, siano sempre aggiornati con le ultime patch di sicurezza per ridurre le superfici di attacco disponibili.
    • Monitoraggio del traffico: Implementare soluzioni avanzate di monitoraggio in grado di individuare anomalie nel traffico di rete, soprattutto per quanto riguarda l’uso non convenzionale di DNS e ICMP.
    • Analisi delle email: Monitorare le API di Outlook per identificare possibili abusi da parte di malware.
    • Threat Intelligence e Response: Integrare strumenti di Threat Intelligence per individuare in anticipo gli indicatori di compromissione (IoC) associati a Squidoor e attivare contromisure adeguate.

    L’attacco Squidoor dimostra l’evoluzione delle minacce APT e la necessità di difese avanzate per contrastarle. L’adozione di protocolli legittimi per scopi malevoli, unita alla capacità di operare su sistemi multipiattaforma, evidenzia l’importanza di strategie di sicurezza multilivello.

    Le aziende e gli enti governativi devono essere consapevoli dei rischi e implementare misure di sicurezza avanzate per prevenire, rilevare e mitigare attacchi come questo. Solo attraverso un approccio basato su intelligence, monitoraggio continuo e aggiornamenti costanti è possibile contrastare minacce sofisticate come Squidoor e proteggere dati e infrastrutture critiche.

    Resta aggiornato sulle ultime minacce di cybersecurity seguendo Red Hot Cyber.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
    Visita il sito web dell'autore

    Articoli in evidenza

    Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio?

    A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...

    Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari

    Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...

    Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$

    Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...

    L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti

    A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che&...

    Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025

    I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006