Malware Shikitega
I criminali informatici stanno utilizzando una sofisticata minaccia malware Linux denominata Shikitega per ottenere il controllo sui sistemi Linux e sui dispositivi IoT (Internet-of-Things). Gli aggressori sfruttano il loro accesso ai dispositivi violati per fornire una minaccia di mining di criptovalute, ma l'ampio accesso e i privilegi di root ottenuti rendono facile per gli aggressori ruotare ed eseguire azioni molto più distruttive e intrusive, se lo desiderano.
La minaccia viene implementata sui dispositivi presi di mira tramite una complessa catena di infezione a più stadi composta da diversi componenti del modulo. Ogni modulo riceve istruzioni dalla parte precedente del payload Shikitega e termina le sue azioni scaricando ed eseguendo la parte successiva.
Il componente contagocce iniziale è solo un paio di centinaia di byte, il che lo rende piuttosto elusivo e difficile da rilevare. Alcuni moduli della catena di infezione sono progettati per sfruttare le vulnerabilità di Linux per ottenere la persistenza e stabilire il controllo sul sistema violato. Secondo un rapporto dei ricercatori di cybersecurity di AT&T Alien Labs che hanno analizzato la minaccia, Shikitega ha abusato delle vulnerabilità CVE-2021-3493 e CVE-2021-4034. Il primo è descritto come un problema di convalida nel kernel Linux che porta gli aggressori a ottenere privilegi elevati, mentre il secondo è una vulnerabilità di escalation dei privilegi locali nell'utilità pkexec di polkit. Grazie a queste vulnerabilità, la parte finale del malware Shikitega viene eseguita con i privilegi di root. Un altro dettaglio importante è che, come parte della sua catena di infezione, la minaccia fornisce anche Mettle, uno strumento di sicurezza offensivo basato sul kit di hacking Metasploit.
I ricercatori di cybersecurity avvertono che alcuni elementi dell'attacco Shikitega, come alcuni dei server Command-and-Control (C2, C&C), sono ospitati su servizi cloud legittimi. Shikitega utilizza anche un codificatore polimorfico per rendere ancora più difficile il rilevamento da parte di soluzioni anti-malware.
