Shikitega zlonamjerni softver

Kibernetički kriminalci koriste sofisticiranu Linux prijetnju zlonamjernim softverom pod nazivom Shikitega kako bi stekli kontrolu nad Linux sustavima i IoT (Internet-of-Things) uređajima. Napadači iskorištavaju svoj pristup oštećenim uređajima kako bi isporučili prijetnju kripto-rudarenja, ali široki pristup i dobivene root privilegije olakšavaju napadačima da se okrenu i izvode daleko destruktivnije i nametljivije akcije ako to žele.

Prijetnja se postavlja na ciljane uređaje putem složenog višefaznog lanca infekcije koji se sastoji od nekoliko različitih komponenti modula. Svaki modul prima upute iz prethodnog dijela Shikitega korisnog opterećenja i završava svoje radnje preuzimanjem i izvršavanjem sljedećeg dijela.

Početna komponenta kapaljke je samo nekoliko stotina bajtova, što je čini prilično neuhvatljivom i teškom za otkrivanje. Određeni moduli lanca infekcije dizajnirani su za iskorištavanje ranjivosti Linuxa kako bi se postigla postojanost i uspostavila kontrola nad probijenim sustavom. Prema izvješću istraživača kibernetičke sigurnosti iz AT&T Alien Labsa koji su analizirali prijetnju, Shikitega je zlorabio ranjivosti CVE-2021-3493 i CVE-2021-4034. Prvi je opisan kao problem provjere valjanosti u jezgri Linuxa koji dovodi napadače do dobivanja povišenih privilegija, dok je drugi ranjivost lokalne eskalacije privilegija u polkitovom uslužnom programu pkexec. Zahvaljujući ovim ranjivostima, posljednji dio zlonamjernog softvera Shikitega izvršava se s root privilegijama. Drugi važan detalj je da, kao dio svog lanca zaraze, prijetnja također isporučuje Mettle, ofenzivni sigurnosni alat temeljen na Metasploit kompletu za hakiranje.

Istraživači kibernetičke sigurnosti upozoravaju da se određeni elementi napada Shikitega, kao što su neki od Command-and-Control (C2, C&C) poslužitelja, nalaze na legitimnim Cloud uslugama. Shikitega također koristi polimorfni koder kako bi još više otežao otkrivanje rješenjima protiv zlonamjernog softvera.