Shikitega Malware

사이버 범죄자들은 Shikitega라는 정교한 Linux 악성 코드 위협을 사용하여 Linux 시스템 및 IoT(사물 인터넷) 장치를 제어합니다. 공격자는 침해된 장치에 대한 액세스를 활용하여 크립토 마이닝 위협을 제공하지만 광범위한 액세스 및 획득한 루트 권한을 통해 공격자가 원하는 경우 훨씬 더 파괴적이고 침입적인 작업을 피벗하고 수행할 수 있습니다.

위협은 여러 다른 모듈 구성 요소로 구성된 복잡한 다단계 감염 체인을 통해 대상 장치에 배포됩니다. 각 모듈은 Shikitega 페이로드의 이전 부분에서 명령을 수신하고 다음 부분을 다운로드하고 실행하여 작업을 종료합니다.

초기 드로퍼 구성 요소는 몇 백 바이트에 불과하므로 탐지하기 어렵고 감지하기 어렵습니다. 감염 체인의 특정 모듈은 Linux 취약점을 악용하여 지속성을 확보하고 침해된 시스템에 대한 제어를 설정하도록 설계되었습니다. 위협을 분석한 AT&T Alien Labs의 사이버 보안 연구원 보고서에 따르면 Shikitega는 CVE-2021-3493 및 CVE-2021-4034 취약점을 악용했습니다. 첫 번째는 공격자가 상승된 권한을 획득하도록 유도하는 Linux 커널의 유효성 검사 문제이고, 두 번째는 polkit의 pkexec 유틸리티에 있는 로컬 권한 상승 취약점입니다. 이러한 취약점으로 인해 Shikitega 악성코드의 마지막 부분은 루트 권한으로 실행됩니다. 또 다른 중요한 세부 사항은 이 위협이 감염 사슬의 일부로 Metasploit 해킹 키트를 기반으로 하는 공격적인 보안 도구인 Mettle도 제공한다는 것입니다.

사이버 보안 연구원들은 일부 명령 및 제어(C2, C&C) 서버와 같은 Shikitega 공격의 특정 요소가 합법적인 클라우드 서비스에서 호스팅된다고 경고합니다. Shikitega는 또한 다형성 인코더를 사용하여 맬웨어 방지 솔루션으로 탐지하는 것을 훨씬 더 어렵게 만듭니다.