Licenties voor meerdere apparaten (volumekortingen)
Threat Database Malware Shikitega-malware

Shikitega-malware

Tegen Mezo in Malware, Linux Malware
Vertalen naar:
Nederlands

Cybercriminelen gebruiken een geavanceerde Linux-malwarebedreiging genaamd Shikitega om controle te krijgen over Linux-systemen en IoT-apparaten (Internet-of-Things). De aanvallers maken gebruik van hun toegang tot de gehackte apparaten om een cryptomining-bedreiging te leveren, maar de brede toegang en de verkregen root-privileges maken het de aanvallers gemakkelijk om te draaien en veel meer destructieve en opdringerige acties uit te voeren als ze dat willen.

De dreiging wordt op de beoogde apparaten ingezet via een complexe meertraps infectieketen die bestaat uit verschillende modulecomponenten. Elke module ontvangt instructies van het vorige deel van de Shikitega-payload en beëindigt zijn acties door het volgende deel te downloaden en uit te voeren.

De initiële dropper-component is slechts een paar honderd bytes, waardoor het vrij ongrijpbaar en moeilijk te detecteren is. Bepaalde modules van de infectieketen zijn ontworpen om misbruik te maken van Linux-kwetsbaarheden om persistentie te bereiken en controle te krijgen over het gehackte systeem. Volgens een rapport van de cybersecurity-onderzoekers van AT&T Alien Labs die de dreiging analyseerden, maakte Shikitega misbruik van de kwetsbaarheden CVE-2021-3493 en CVE-2021-4034. De eerste wordt beschreven als een validatieprobleem in de Linux-kernel waardoor aanvallers verhoogde bevoegdheden krijgen, terwijl de tweede een lokale kwetsbaarheid voor escalatie van bevoegdheden is in het pkexec-hulpprogramma van polkit. Dankzij deze kwetsbaarheden wordt het laatste deel van de Shikitega-malware uitgevoerd met rootrechten. Een ander belangrijk detail is dat, als onderdeel van de infectieketen, de dreiging ook Mettle levert, een offensieve beveiligingstool op basis van de Metasploit-hackkit.

De cybersecurity-onderzoekers waarschuwen dat bepaalde elementen van de Shikitega-aanval, zoals sommige Command-and-Control (C2, C&C) servers, worden gehost op legitieme cloudservices. Shikitega gebruikt ook een polymorfe encoder om het nog moeilijker te maken voor detectie door anti-malware-oplossingen.

Trending

Meest bekeken

Bezig met laden...