Скидка на мультилицензию
База данных угроз Вредоносное ПО Plague Backdoor

Plague Backdoor

К Mezo году в Вредоносное ПО, Бэкдоры году
Перевести на:

Эксперты по кибербезопасности обнаружили ранее неизвестную и крайне сложную вредоносную программу для Linux, получившую название Plague. Несмотря на то, что этот вредоносный бэкдор работал незамеченным около года, он продемонстрировал высокий уровень стойкости и скрытности, позволяя злоумышленникам скрытно проникать в системы и получать несанкционированный доступ.

Скрыто на виду: использование PAM в качестве оружия для скрытого доступа

Plague маскируется под вредоносный подключаемый модуль аутентификации (PAM) — основной компонент, используемый в системах Linux и UNIX для аутентификации приложений и сервисов. Внедряясь в эту инфраструктуру аутентификации, Plague способен:

  • Обойти механизмы аутентификации системы молча
  • Захват учетных данных пользователя
  • Установить постоянный SSH-доступ без обнаружения

Поскольку модули PAM загружаются в привилегированные процессы, вредоносная реализация, такая как Plague, может работать с повышенными разрешениями, часто уклоняясь от традиционных инструментов обнаружения и мониторинга.

Невидимый и развивающийся: не обнаруженный системами безопасности

Исследователи выявили несколько различных образцов вируса Plague, ни один из которых не был помечен антивирусными сканерами как вредоносный. Обнаружение множества уникальных артефактов указывает на продолжающуюся разработку и совершенствование вредоносного ПО со стороны злоумышленников, что позволяет предположить, что Plague является частью долгосрочной наступательной стратегии.

Арсенал Чумы: Скрытый доступ и антикриминалистика

Plague оснащен набором расширенных функций, которые способствуют его уклончивости и способности действовать незамеченным:

  • Статические учетные данные для обеспечения скрытного, многократного доступа
  • Механизмы противоотладки и обфускация строк для предотвращения обратного проектирования

Вмешательство в окружающую среду с целью заметания следов, в том числе:

  • Сброс переменных среды, связанных с SSH (SSH_CONNECTION, SSH_CLIENT)
  • Перенаправление истории оболочки (HISTFILE) в /dev/null для удаления журналов выполненных команд

Эти тактики специально разработаны для удаления любых доказательств присутствия злоумышленника в скомпрометированной системе.

«Молчаливый выживший»: настойчивость и запутывание в основе

Интеграция Plague в стек аутентификации позволяет ему переносить обновления системы и действовать незаметно, что делает его необычайно устойчивой угрозой. Многоуровневые методы обфускации и манипуляция переменными системной среды значительно снижают его заметность, делая его серьёзной проблемой для традиционных механизмов обнаружения.

Заключение: Опасная угроза, требующая бдительности

Обнаружение Plague демонстрирует растущую сложность вредоносного ПО для Linux. Внедряясь в критически важные системные компоненты и используя сложные методы противодействия криминалистическому анализу, он представляет значительный риск для организаций, использующих инфраструктуру Linux. Проактивный мониторинг, регулярный аудит модулей PAM и обнаружение аномалий на основе анализа поведения имеют решающее значение для борьбы с угрозами такого масштаба.

В тренде

Общий документ — мошенничество с коммерческим...

Фишинг, Спам
Эксперты по кибербезопасности выявили вредоносную спам-кампанию, включающую мошеннические электронные письма под названием «Общий документ – бизнес-предложение и список продуктов». Эти обманные сообщения якобы якобы отправили получателю бизнес-предложение и информацию о продуктах, но на самом деле они предназначены для кражи конфиденциальных учётных данных. Важно подчеркнуть, что эти письма не...

Наиболее просматриваемые

Загрузка...