Ένα κακόβουλο λογισμικό που δεν είχε εντοπιστεί προηγουμένως με την ονομασία «Lightning Framework» που στοχεύει συστήματα Linux μπορεί να χρησιμοποιηθεί για να παραθέσει μολυσμένες συσκευές με χρήση SSH και να αναπτύξει rootkits για να καλύψει τα ίχνη των εισβολέων.

Καθώς περιγράφεται ως “Ελβετικό μαχαίρι στρατού” σε μια αναφορά που δημοσιεύτηκε σήμερα από την Intezer, το Lightning Framework είναι ένα αρθρωτό κακόβουλο λογισμικό που έρχεται επίσης με υποστήριξη για πρόσθετα.

“Το πλαίσιο έχει τόσο παθητικές όσο και ενεργητικές δυνατότητες επικοινωνίας με τον παράγοντα απειλής, συμπεριλαμβανομένου του ανοίγματος SSH σε ένα μολυσμένο μηχάνημα και μιας πολυμορφικής εύπλαστης διαμόρφωσης εντολών και ελέγχου”, δήλωσε ο ερευνητής ασφαλείας της Intezer, Ryan Robinson.

Αυτό το κακόβουλο λογισμικό δεν έχει ακόμη εντοπιστεί στη φύση και ορισμένα από τα συστατικά του (που αναφέρονται στον πηγαίο κώδικα) δεν έχουν ακόμη βρεθεί και αναλυθεί.

Το Lightning Framework έχει δημιουργηθεί χρησιμοποιώντας μια απλή δομή: ένα στοιχείο λήψης που θα κατεβάσει και θα εγκαταστήσει άλλες μονάδες και πρόσθετα του κακόβουλου λογισμικού, συμπεριλαμβανομένης της βασικής μονάδας του, σε παραβιασμένες συσκευές Linux.

Το κακόβουλο λογισμικό χρησιμοποιεί typosquatting και θα μεταμφιεστεί ως ο Seahorse διαχειριστής κωδικών πρόσβασης και κλειδιών κρυπτογράφησης

Αφού επικοινωνήσει με τον διακομιστή εντολών και ελέγχου (C2) μέσω υποδοχών TCP χρησιμοποιώντας πληροφορίες C2 που είναι αποθηκευμένες σε μη ανιχνεύσιμα πολυμορφικά κωδικοποιημένα αρχεία διαμόρφωσης, το Lightning Framework ανακτά τα πρόσθετά του και τη βασική μονάδα.

Αυτή η βασική λειτουργική μονάδα (kkdmflush) είναι η κύρια λειτουργική μονάδα του πλαισίου και είναι αυτή που χρησιμοποιεί το κακόβουλο λογισμικό για να λάβει εντολές από τον διακομιστή C2 και να εκτελέσει τις προσθήκες του.