Shikitega skadelig programvare

Nettkriminelle bruker en sofistikert Linux-malwaretrussel kalt Shikitega for å få kontroll over Linux-systemer og IoT-enheter (Internet-of-Things). Angriperne utnytter tilgangen til de brutte enhetene for å levere en trussel mot kryptogruvedrift, men den brede tilgangen og de oppnådde root-privilegiene gjør det enkelt for angriperne å pivotere og utføre langt mer ødeleggende og påtrengende handlinger hvis de ønsker det.

Trusselen distribueres på de målrettede enhetene via en kompleks flertrinns infeksjonskjede som består av flere forskjellige modulkomponenter. Hver modul mottar instruksjoner fra forrige del av Shikitega nyttelasten og avslutter handlingene ved å laste ned og utføre neste del.

Den første dropper-komponenten er bare et par hundre byte, noe som gjør den ganske unnvikende og vanskelig å oppdage. Enkelte moduler i infeksjonskjeden er designet for å utnytte Linux-sårbarheter for å oppnå utholdenhet og etablere kontroll over det brutte systemet. I følge en rapport fra cybersikkerhetsforskerne ved AT&T Alien Labs som analyserte trusselen, misbrukte Shikitega sårbarhetene CVE-2021-3493 og CVE-2021-4034. Den første beskrives som et valideringsproblem i Linux-kjernen som fører til at angripere oppnår forhøyede privilegier, mens den andre er en lokal privilegieeskaleringssårbarhet i polkits pkexec-verktøy. Takket være disse sårbarhetene, kjøres den siste delen av Shikitega malware med root-privilegier. En annen viktig detalj er at trusselen, som en del av infeksjonskjeden, også leverer Mettle, et støtende sikkerhetsverktøy basert på Metasploit-hackingsettet.

Nettsikkerhetsforskerne advarer om at visse elementer i Shikitega-angrepet, for eksempel noen av Command-and-Control-serverne (C2, C&C), er vert for legitime skytjenester. Shikitega bruker også en polymorf koder for å gjøre det enda vanskeligere for deteksjon av anti-malware-løsninger.