Threat Database Malware Złośliwe oprogramowanie Shikitega

Złośliwe oprogramowanie Shikitega

Cyberprzestępcy wykorzystują wyrafinowane linuksowe zagrożenie o nazwie Shikitega, aby uzyskać kontrolę nad systemami Linux i urządzeniami IoT (Internet-of-Things). Osoby atakujące wykorzystują swój dostęp do naruszonych urządzeń, aby stworzyć zagrożenie kopaniem kryptowalut, ale szeroki dostęp i uzyskane uprawnienia roota ułatwiają atakującym zmianę kierunku i wykonywanie znacznie bardziej destrukcyjnych i inwazyjnych działań, jeśli sobie tego życzą.

Zagrożenie jest wdrażane na zaatakowanych urządzeniach za pośrednictwem złożonego, wieloetapowego łańcucha infekcji składającego się z kilku różnych komponentów modułów. Każdy moduł otrzymuje instrukcje z poprzedniej części ładunku Shikitega i kończy swoje działania pobierając i wykonując kolejną część.

Początkowy komponent droppera ma tylko kilkaset bajtów, co czyni go dość nieuchwytnym i trudnym do wykrycia. Niektóre moduły łańcucha infekcji są zaprojektowane tak, aby wykorzystywać luki w systemie Linux w celu zapewnienia trwałości i ustanowienia kontroli nad złamanym systemem. Według raportu badaczy cyberbezpieczeństwa z AT&T Alien Labs, którzy przeanalizowali zagrożenie, firma Shikitega wykorzystała luki w zabezpieczeniach CVE-2021-3493 i CVE-2021-4034. Pierwsza z nich jest opisana jako problem z walidacją w jądrze Linuksa, który prowadzi atakujących do uzyskania podwyższonych uprawnień, podczas gdy drugi to luka w lokalnej eskalacji uprawnień w narzędziu pkexec firmy polkit. Dzięki tym lukom ostatnia część złośliwego oprogramowania Shikitega jest uruchamiana z uprawnieniami roota. Innym ważnym szczegółem jest to, że w ramach łańcucha infekcji zagrożenie dostarcza również Mettle, ofensywne narzędzie bezpieczeństwa oparte na zestawie hakerskim Metasploit.

Badacze cyberbezpieczeństwa ostrzegają, że niektóre elementy ataku Shikitega, takie jak niektóre serwery Command-and-Control (C2, C&C), są hostowane na legalnych usługach w chmurze. Shikitega wykorzystuje również koder polimorficzny, aby jeszcze bardziej utrudnić jego wykrycie przez rozwiązania chroniące przed złośliwym oprogramowaniem.

Popularne

Najczęściej oglądane

Ładowanie...