Shikitega Malware

Cyberkriminelle bruger en sofistikeret Linux-malwaretrussel ved navn Shikitega til at få kontrol over Linux-systemer og IoT-enheder (Internet-of-Things). Angriberne udnytter deres adgang til de brudte enheder til at levere en crypto-mining trussel, men den brede adgang og de opnåede root-privilegier gør det nemt for angriberne at dreje og udføre langt mere destruktive og påtrængende handlinger, hvis de ønsker det.

Truslen implementeres på de målrettede enheder via en kompleks flertrinsinfektionskæde bestående af flere forskellige modulkomponenter. Hvert modul modtager instruktioner fra den forrige del af Shikitega-nyttelasten og afslutter sine handlinger ved at downloade og udføre den næste del.

Den indledende dropper-komponent er kun et par hundrede bytes, hvilket gør den ret uhåndgribelig og svær at opdage. Visse moduler i infektionskæden er designet til at udnytte Linux-sårbarheder for at opnå persistens og etablere kontrol over det brudte system. Ifølge en rapport fra cybersikkerhedsforskerne ved AT&T Alien Labs, der analyserede truslen, misbrugte Shikitega CVE-2021-3493 og CVE-2021-4034 sårbarhederne. Den første beskrives som et valideringsproblem i Linux-kernen, der fører angribere til at opnå forhøjede privilegier, mens den anden er en lokal privilegieeskaleringssårbarhed i polkits pkexec-værktøj. Takket være disse sårbarheder udføres den sidste del af Shikitega-malwaren med root-rettigheder. En anden vigtig detalje er, at truslen, som en del af sin infektionskæde, også leverer Mettle, et offensivt sikkerhedsværktøj baseret på Metasploit hacking kit.

Cybersikkerhedsforskerne advarer om, at visse elementer i Shikitega-angrebet, såsom nogle af Command-and-Control-serverne (C2, C&C), hostes på legitime Cloud-tjenester. Shikitega bruger også en polymorf encoder for at gøre det endnu sværere at opdage med anti-malware-løsninger.