Threat Database Malware Shikitega skadlig programvara

Shikitega skadlig programvara

Cyberkriminella använder ett sofistikerat Linux-hot med skadlig kod som heter Shikitega för att få kontroll över Linux-system och IoT-enheter (Internet-of-Things). Angriparna utnyttjar sin åtkomst till de brutna enheterna för att leverera ett hot mot kryptomining, men den breda åtkomsten och de erhållna root-privilegierna gör det enkelt för angriparna att pivotera och utföra mycket mer destruktiva och påträngande åtgärder om de så önskar.

Hotet distribueras på de riktade enheterna via en komplex infektionskedja i flera steg som består av flera olika modulkomponenter. Varje modul får instruktioner från föregående del av Shikitega nyttolasten och avslutar sina åtgärder genom att ladda ner och köra nästa del.

Den initiala dropperkomponenten är bara ett par hundra byte, vilket gör den ganska svårupptäckt och svår att upptäcka. Vissa moduler i infektionskedjan är utformade för att utnyttja Linux-sårbarheter för att uppnå uthållighet och etablera kontroll över det brutna systemet. Enligt en rapport från cybersäkerhetsforskare vid AT&T Alien Labs som analyserade hotet missbrukade Shikitega sårbarheterna CVE-2021-3493 och CVE-2021-4034. Den första beskrivs som ett valideringsproblem i Linux-kärnan som leder till att angripare får förhöjda privilegier, medan den andra är en sårbarhet för lokal privilegieeskalering i polkits pkexec-verktyg. Tack vare dessa sårbarheter exekveras den sista delen av Shikitega malware med root-privilegier. En annan viktig detalj är att hotet, som en del av sin infektionskedja, även levererar Mettle, ett offensivt säkerhetsverktyg baserat på Metasploit hacking-kit.

Cybersäkerhetsforskarna varnar för att vissa delar av Shikitega-attacken, såsom några av Command-and-Control-servrarna (C2, C&C), finns på legitima molntjänster. Shikitega använder också en polymorf kodare för att göra det ännu svårare att upptäcka av lösningar mot skadlig programvara.

Trendigt

Mest sedda

Läser in...