بدافزار Shikitega
مجرمان سایبری از یک تهدید بدافزار پیچیده لینوکس به نام Shikitega برای به دست آوردن کنترل سیستمهای لینوکس و دستگاههای IoT (اینترنت اشیا) استفاده میکنند. مهاجمان از دسترسی خود به دستگاههای شکستهشده برای ارائه یک تهدید استخراج رمزنگاری استفاده میکنند، اما دسترسی گسترده و امتیازات ریشه بهدستآمده این امکان را برای مهاجمان فراهم میکند تا در صورت تمایل، بهمراتب حرکت کنند و اقدامات مخرب و مزاحمتری را انجام دهند.
تهدید از طریق یک زنجیره عفونت پیچیده چند مرحله ای متشکل از چندین جزء مختلف ماژول بر روی دستگاه های مورد نظر مستقر می شود. هر ماژول دستورالعملهایی را از قسمت قبلی محموله Shikitega دریافت میکند و با دانلود و اجرای قسمت بعدی به اقدامات خود پایان میدهد.
جزء قطره چکان اولیه فقط چند صد بایت است که تشخیص آن را کاملاً گریزان و دشوار می کند. ماژول های خاصی از زنجیره آلودگی برای سوء استفاده از آسیب پذیری های لینوکس برای دستیابی به پایداری و ایجاد کنترل بر سیستم نقض شده طراحی شده اند. بر اساس گزارشی که توسط محققان امنیت سایبری در AT&T Alien Labs که این تهدید را تجزیه و تحلیل کردند، Shikitega از آسیبپذیریهای CVE-2021-3493 و CVE-2021-4034 سوء استفاده کرده است. اولین مورد به عنوان یک مشکل اعتبار سنجی در هسته لینوکس توصیف می شود که مهاجمان را برای به دست آوردن امتیازات بالا هدایت می کند، در حالی که مورد دوم یک آسیب پذیری افزایش امتیاز محلی در ابزار pkexec polkit است. به لطف این آسیب پذیری ها، قسمت پایانی بدافزار Shikitega با امتیازات روت اجرا می شود. یکی دیگر از جزئیات مهم این است که تهدید به عنوان بخشی از زنجیره عفونت، Mettle، یک ابزار امنیتی تهاجمی مبتنی بر کیت هک Metasploit را نیز ارائه میکند.
محققان امنیت سایبری هشدار میدهند که برخی از عناصر حمله Shikitega، مانند برخی از سرورهای Command-and-Control (C2, C&C)، بر روی سرویسهای Cloud قانونی میزبانی میشوند. Shikitega همچنین از یک رمزگذار چند شکلی استفاده می کند تا تشخیص آن توسط راه حل های ضد بدافزار را دشوارتر کند.