Οι ερευνητές ασφάλειας με την AT&T Alien Labs προειδοποιούν για ένα νέο κομμάτι κακόβουλου λογισμικού που μπορεί να αναλάβει τον πλήρη έλεγχο των μολυσμένων συστημάτων Linux, συμπεριλαμβανομένων των συσκευών Internet of Things (IoT).
Με την ονομασία Shikitega, η απειλή παραδίδεται ως μέρος μιας αλυσίδας μόλυνσης πολλαπλών σταδίων, όπου κάθε βήμα είναι υπεύθυνο για ένα μέρος του ωφέλιμου φορτίου και ανακτά και εκτελεί την επόμενη ενότητα.
Για να διασφαλιστεί ότι μπορεί να αποκτήσει τον πλήρη έλεγχο ενός μολυσμένου συστήματος, το κακόβουλο λογισμικό κατεβάζει και εκτελεί τον μετρητή «Mettle» του Metasploit. Προσπαθεί επίσης να εκμεταλλευτεί τα τρωτά σημεία του συστήματος για να κλιμακώσει τα προνόμια και να επιτύχει την επιμονή.
Η Shikitega φιλοξενεί μερικούς από τους διακομιστές εντολών και ελέγχου (C&C) της σε νόμιμες υπηρεσίες cloud, χρησιμοποιεί έναν πολυμορφικό κωδικοποιητή για να αποφύγει τον εντοπισμό και αναπτύσσει έναν εξορύκτη κρυπτονομισμάτων στα μολυσμένα μηχανήματα.
Με τη βοήθεια του Mettle, οι εισβολείς μπορούν να εκτελέσουν επιθέσεις όπως στοιχεία ελέγχου κάμερας web, sniffers, διάφορα αντίστροφα κελύφη, εντολές φλοιού, έλεγχοι διεργασιών και πολλά άλλα.
AT&T Alien Labs παρατήρησε το κακόβουλο λογισμικό χρησιμοποιώντας το wget για να ανακτήσει και να εκτελέσει ένα σταγονόμετρο επόμενου σταδίου. Οι εντολές φλοιού χρησιμοποιούνται για τη λήψη και την εκτέλεση πρόσθετων ωφέλιμων φορτίων.
Η Shikitega, λένε οι ερευνητές ασφαλείας, εκμεταλλεύεται δύο γνωστά τρωτά σημεία του Linux – το CVE-2021-4034 και το CVE-2021-3493 – για να ανακτήσει και να εκτελέσει το τελικό ωφέλιμο φορτίο – ένα μόνιμο εξόρυγμα κρυπτονομισμάτων – με δικαιώματα root.
Οι ερευνητές λένε ότι το κακόβουλο λογισμικό χρησιμοποιεί πέντε σενάρια κελύφους για να επιτύχει επιμονή. Η απειλή ορίζει crontabs για τον τρέχοντα χρήστη και για τη ρίζα του χρήστη – το κακόβουλο λογισμικό ελέγχει πρώτα την παρουσία της εντολής crontab στο μηχάνημα και τη δημιουργεί εάν δεν υπάρχει.
Το κακόβουλο λογισμικό αναπτύσσει το XMRig (ένα δημοφιλές miner για το Monero) ως τελικό ωφέλιμο φορτίο και ορίζει ένα crontab persistence για τη λήψη και την εκτέλεση του miner.
Για να μετριαστεί ο κίνδυνος μόλυνσης, η AT&T Alien Labs συνιστά τις θεμελιώδεις προστασίες της έγκαιρης εγκατάστασης ενημερώσεων κώδικα ασφαλείας, της διατήρησης αντιγράφων ασφαλείας διακομιστή και της χρήσης λογισμικού κατά του κακόβουλου λογισμικού σε όλα τα τελικά σημεία.