Shikitega Malware

Сајбер-криминалци користе софистицирану претњу злонамерног софтвера за Линук под именом Схикитега да би стекли контролу над Линук системима и ИоТ (Интернет-оф-Тхингс) уређајима. Нападачи користе свој приступ оштећеним уређајима како би испоручили претњу крипто рударења, али широк приступ и добијене привилегије роот-а олакшавају нападачима да се окрену и изведу далеко деструктивније и наметљивије акције ако то желе.

Претња се поставља на циљане уређаје преко сложеног вишестепеног ланца инфекције који се састоји од неколико различитих компоненти модула. Сваки модул прима упутства из претходног дела Схикитега корисног оптерећења и завршава своје акције преузимањем и извршавањем следећег дела.

Почетна компонента дроппер-а је само неколико стотина бајтова, што је чини прилично неухватљивом и тешком за откривање. Одређени модули ланца заразе су дизајнирани да искористе Линук рањивости за постизање постојаности и успостављање контроле над пробијеним системом. Према извештају истраживача сајбер безбедности у АТ&Т Алиен Лабс-у који су анализирали претњу, Шикитега је злоупотребио ЦВЕ-2021-3493 и ЦВЕ-2021-4034 рањивости. Први је описан као проблем валидације у језгру Линука који наводи нападаче да добију повишене привилегије, док је други рањивост локалне ескалације привилегија у полкитовом пкекец услужном програму. Захваљујући овим рањивостима, последњи део Схикитега малвера се извршава са роот привилегијама. Још један важан детаљ је да, као део свог ланца заразе, претња такође испоручује Меттле, офанзивни безбедносни алат заснован на Метасплоит хакерском комплету.

Истраживачи сајбер безбедности упозоравају да се одређени елементи напада Шикитега, као што су неки од сервера за команду и контролу (Ц2, Ц&Ц), хостују на легитимним Цлоуд сервисима. Схикитега такође користи полиморфни кодер како би га још више отежало откривање помоћу решења за заштиту од малвера.