برنامج Shikitega الخبيث

يستخدم مجرمو الإنترنت تهديدًا متطورًا لبرامج ضارة على نظام Linux يسمى Shikitega للتحكم في أنظمة Linux وأجهزة إنترنت الأشياء (Internet-of-Things). يستفيد المهاجمون من وصولهم إلى الأجهزة التي تم اختراقها لتقديم تهديد التنقيب عن العملات المشفرة ، لكن الوصول الواسع وامتيازات الجذر التي تم الحصول عليها تجعل من السهل على المهاجمين التمحور وتنفيذ إجراءات أكثر تدميراً وتدخلاً إذا رغبوا في ذلك.

يتم نشر التهديد على الأجهزة المستهدفة عبر سلسلة عدوى معقدة متعددة المراحل تتكون من عدة مكونات وحدة مختلفة. تتلقى كل وحدة تعليمات من الجزء السابق من حمولة Shikitega وتنهي إجراءاتها عن طريق تنزيل الجزء التالي وتنفيذه.

لا يتجاوز مكون القطارة الأولي بضع مئات من البايتات ، مما يجعله بعيد المنال ويصعب اكتشافه. تم تصميم وحدات معينة من سلسلة العدوى لاستغلال ثغرات Linux لتحقيق الاستمرارية والسيطرة على النظام المخترق. وفقًا لتقرير صادر عن باحثي الأمن السيبراني في AT&T Alien Labs الذين حللوا التهديد ، أساء Shikitega استخدام الثغرات الأمنية CVE-2021-3493 و CVE-2021-4034. تم وصف المشكلة الأولى على أنها مشكلة التحقق من صحة المهاجمين الرائدين في Linux kernel للحصول على امتيازات عالية ، بينما الثانية هي ثغرة تصعيد الامتياز المحلي في الأداة المساعدة pkexec الخاصة بـ polkit. بفضل هذه الثغرات الأمنية ، يتم تنفيذ الجزء الأخير من برنامج Shikitega الضار بامتيازات الجذر. تفصيل آخر مهم هو أنه كجزء من سلسلة العدوى الخاصة به ، يسلم التهديد أيضًا Mettle ، وهي أداة أمنية هجومية تعتمد على مجموعة القرصنة Metasploit.

يحذر باحثو الأمن السيبراني من أن بعض عناصر هجوم Shikitega ، مثل بعض خوادم القيادة والتحكم (C2 ، C&C) ، مستضافة على خدمات سحابية شرعية. يستخدم Shikitega أيضًا مشفرًا متعدد الأشكال لجعل اكتشافه أكثر صعوبة بواسطة حلول مكافحة البرامج الضارة.