Shikitega Malware

Киберпреступники используют сложное вредоносное ПО для Linux под названием Shikitega, чтобы получить контроль над системами Linux и устройствами IoT (Интернет вещей). Злоумышленники используют свой доступ к взломанным устройствам для доставки угрозы крипто-майнинга, но широкий доступ и полученные привилегии root позволяют злоумышленникам легко разворачиваться и выполнять гораздо более разрушительные и навязчивые действия, если они того пожелают.

Угроза развертывается на целевых устройствах через сложную многоступенчатую цепочку заражения, состоящую из нескольких различных модульных компонентов. Каждый модуль получает инструкции от предыдущей части полезной нагрузки Shikitega и заканчивает свои действия загрузкой и выполнением следующей части.

Начальный компонент дроппера составляет всего пару сотен байт, что делает его довольно неуловимым и трудным для обнаружения. Некоторые модули цепочки заражения предназначены для использования уязвимостей Linux для обеспечения устойчивости и установления контроля над взломанной системой. Согласно отчету исследователей кибербезопасности из AT&T Alien Labs, которые проанализировали угрозу, Шикитега злоупотребил уязвимостями CVE-2021-3493 и CVE-2021-4034. Первая описывается как проблема проверки в ядре Linux, заставляющая злоумышленников получать повышенные привилегии, а вторая — уязвимость локального повышения привилегий в утилите pkexec от polkit. Благодаря этим уязвимостям финальная часть вредоносного ПО Shikitega выполняется с привилегиями root. Еще одна важная деталь заключается в том, что в цепочке заражения угроза также поставляет Mettle, наступательный инструмент безопасности, основанный на хакерском наборе Metasploit.

Исследователи кибербезопасности предупреждают, что некоторые элементы атаки Shikitega, такие как некоторые серверы управления и контроля (C2, C&C), размещены в законных облачных сервисах. Shikitega также использует полиморфный кодировщик, чтобы еще больше затруднить его обнаружение антивирусными решениями.