Programari maliciós Shikitega

Els ciberdelinqüents estan utilitzant una sofisticada amenaça de programari maliciós de Linux anomenada Shikitega per controlar els sistemes Linux i els dispositius IoT (Internet de les coses). Els atacants aprofiten el seu accés als dispositius violats per oferir una amenaça de criptomineria, però l'accés ampli i els privilegis d'arrel obtinguts faciliten que els atacants puguin pivotar i dur a terme accions molt més destructives i intrusives si així ho desitgen.

L'amenaça es desplega als dispositius objectiu mitjançant una cadena d'infecció complexa en diverses etapes que consta de diversos components de mòduls diferents. Cada mòdul rep instruccions de la part anterior de la càrrega útil de Shikitega i finalitza les seves accions baixant i executant la part següent.

El component de comptagotes inicial és només un parell de centenars de bytes, cosa que fa que sigui bastant difícil de detectar i difícil de detectar. Alguns mòduls de la cadena d'infecció estan dissenyats per explotar les vulnerabilitats de Linux per aconseguir la persistència i establir el control sobre el sistema trencat. Segons un informe dels investigadors de ciberseguretat d'AT&T Alien Labs que van analitzar l'amenaça, Shikitega va abusar de les vulnerabilitats CVE-2021-3493 i CVE-2021-4034. El primer es descriu com un problema de validació al nucli de Linux que porta els atacants a obtenir privilegis elevats, mentre que el segon és una vulnerabilitat d'escalada de privilegis local a la utilitat pkexec de polkit. Gràcies a aquestes vulnerabilitats, la part final del programari maliciós Shikitega s'executa amb privilegis root. Un altre detall important és que, com a part de la seva cadena d'infecció, l'amenaça també ofereix Mettle, una eina de seguretat ofensiva basada en el kit de pirateria Metasploit.

Els investigadors de ciberseguretat adverteixen que certs elements de l'atac de Shikitega, com ara alguns dels servidors de comandament i control (C2, C&C), estan allotjats en serveis de núvol legítims. Shikitega també utilitza un codificador polimòrfic per fer encara més difícil la detecció per solucions anti-malware.