بدافزار Shikitega

مجرمان سایبری از یک تهدید بدافزار پیچیده لینوکس به نام Shikitega برای به دست آوردن کنترل سیستم‌های لینوکس و دستگاه‌های IoT (اینترنت اشیا) استفاده می‌کنند. مهاجمان از دسترسی خود به دستگاه‌های شکسته‌شده برای ارائه یک تهدید استخراج رمزنگاری استفاده می‌کنند، اما دسترسی گسترده و امتیازات ریشه به‌دست‌آمده این امکان را برای مهاجمان فراهم می‌کند تا در صورت تمایل، به‌مراتب حرکت کنند و اقدامات مخرب و مزاحم‌تری را انجام دهند.

تهدید از طریق یک زنجیره عفونت پیچیده چند مرحله ای متشکل از چندین جزء مختلف ماژول بر روی دستگاه های مورد نظر مستقر می شود. هر ماژول دستورالعمل‌هایی را از قسمت قبلی محموله Shikitega دریافت می‌کند و با دانلود و اجرای قسمت بعدی به اقدامات خود پایان می‌دهد.

جزء قطره چکان اولیه فقط چند صد بایت است که تشخیص آن را کاملاً گریزان و دشوار می کند. ماژول های خاصی از زنجیره آلودگی برای سوء استفاده از آسیب پذیری های لینوکس برای دستیابی به پایداری و ایجاد کنترل بر سیستم نقض شده طراحی شده اند. بر اساس گزارشی که توسط محققان امنیت سایبری در AT&T Alien Labs که این تهدید را تجزیه و تحلیل کردند، Shikitega از آسیب‌پذیری‌های CVE-2021-3493 و CVE-2021-4034 سوء استفاده کرده است. اولین مورد به عنوان یک مشکل اعتبار سنجی در هسته لینوکس توصیف می شود که مهاجمان را برای به دست آوردن امتیازات بالا هدایت می کند، در حالی که مورد دوم یک آسیب پذیری افزایش امتیاز محلی در ابزار pkexec polkit است. به لطف این آسیب پذیری ها، قسمت پایانی بدافزار Shikitega با امتیازات روت اجرا می شود. یکی دیگر از جزئیات مهم این است که تهدید به عنوان بخشی از زنجیره عفونت، Mettle، یک ابزار امنیتی تهاجمی مبتنی بر کیت هک Metasploit را نیز ارائه می‌کند.

محققان امنیت سایبری هشدار می‌دهند که برخی از عناصر حمله Shikitega، مانند برخی از سرورهای Command-and-Control (C2, C&C)، بر روی سرویس‌های Cloud قانونی میزبانی می‌شوند. Shikitega همچنین از یک رمزگذار چند شکلی استفاده می کند تا تشخیص آن توسط راه حل های ضد بدافزار را دشوارتر کند.