Shikitega Malware

Criminalii cibernetici folosesc o amenințare sofisticată de malware Linux numită Shikitega pentru a obține controlul asupra sistemelor Linux și a dispozitivelor IoT (Internet-of-Things). Atacatorii își valorifică accesul la dispozitivele violate pentru a oferi o amenințare de cripto-mining, dar accesul larg și privilegiile root obținute le facilitează atacatorilor să pivoteze și să efectueze acțiuni mult mai distructive și intruzive dacă doresc acest lucru.

Amenințarea este implementată pe dispozitivele vizate printr-un lanț complex de infecție în mai multe etape, format din mai multe componente diferite ale modulelor. Fiecare modul primește instrucțiuni din partea anterioară a sarcinii utile Shikitega și își încheie acțiunile prin descărcarea și executarea următoarei părți.

Componenta dropper inițială este de doar câteva sute de octeți, ceea ce o face destul de evazivă și dificil de detectat. Anumite module ale lanțului de infecție sunt concepute pentru a exploata vulnerabilitățile Linux pentru a obține persistență și a stabili controlul asupra sistemului încălcat. Potrivit unui raport al cercetătorilor de securitate cibernetică de la AT&T Alien Labs, care au analizat amenințarea, Shikitega a abuzat de vulnerabilitățile CVE-2021-3493 și CVE-2021-4034. Prima este descrisă ca o problemă de validare în kernel-ul Linux care conduce atacatorii să obțină privilegii ridicate, în timp ce a doua este o vulnerabilitate locală de escaladare a privilegiilor în utilitarul pkexec al polkit. Datorită acestor vulnerabilități, partea finală a malware-ului Shikitega este executată cu privilegii root. Un alt detaliu important este că, ca parte a lanțului său de infecție, amenințarea oferă și Mettle, un instrument de securitate ofensiv bazat pe kitul de hacking Metasploit.

Cercetătorii în securitate cibernetică avertizează că anumite elemente ale atacului Shikitega, cum ar fi unele dintre serverele Command-and-Control (C2, C&C), sunt găzduite pe servicii Cloud legitime. Shikitega utilizează, de asemenea, un codificator polimorf pentru a face și mai dificilă detectarea prin soluții anti-malware.