Shikitega Malware

อาชญากรไซเบอร์กำลังใช้ภัยคุกคามมัลแวร์ Linux ที่ซับซ้อนที่ชื่อ Shikitega เพื่อเข้าควบคุมระบบ Linux และอุปกรณ์ IoT (Internet-of-Things) ผู้โจมตีใช้ประโยชน์จากการเข้าถึงอุปกรณ์ที่ถูกเจาะเพื่อส่งภัยคุกคามการขุด crypto แต่การเข้าถึงในวงกว้างและสิทธิ์ในการรูทที่ได้รับทำให้ผู้โจมตีสามารถหมุนตัวและดำเนินการที่เป็นอันตรายและล่วงล้ำได้มากขึ้นหากต้องการ

ภัยคุกคามถูกปรับใช้บนอุปกรณ์เป้าหมายผ่านห่วงโซ่การติดไวรัสหลายขั้นตอนที่ซับซ้อนซึ่งประกอบด้วยส่วนประกอบโมดูลต่างๆ แต่ละโมดูลจะได้รับคำแนะนำจากส่วนก่อนหน้าของเพย์โหลด Shikitega และสิ้นสุดการดำเนินการด้วยการดาวน์โหลดและดำเนินการในส่วนถัดไป

ส่วนประกอบหยดเริ่มต้นเป็นเพียงสองสามร้อยไบต์ ทำให้เข้าใจยากและตรวจจับได้ยาก โมดูลบางโมดูลของสายการติดไวรัสได้รับการออกแบบมาเพื่อใช้ประโยชน์จากช่องโหว่ของ Linux เพื่อให้เกิดการคงอยู่และสร้างการควบคุมระบบที่ละเมิด ตามรายงานของนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ AT&T Alien Labs ซึ่งวิเคราะห์ภัยคุกคามดังกล่าว ชิกิเตกะใช้ช่องโหว่ CVE-2021-3493 และ CVE-2021-4034 ในทางที่ผิด ประเด็นแรกถูกอธิบายว่าเป็นปัญหาการตรวจสอบความถูกต้องในเคอร์เนล Linux ที่นำผู้โจมตีไปสู่การยกระดับสิทธิ์ ในขณะที่จุดที่สองคือช่องโหว่ในการยกระดับสิทธิ์เฉพาะที่ในยูทิลิตี้ pkexec ของ polkit ขอบคุณช่องโหว่เหล่านี้ ส่วนสุดท้ายของมัลแวร์ Shikitega ถูกเรียกใช้งานด้วยสิทธิ์ของรูท รายละเอียดที่สำคัญอีกประการหนึ่งคือ ภัยคุกคามยังส่งมอบ Mettle ซึ่งเป็นเครื่องมือรักษาความปลอดภัยเชิงรุกที่อิงจากชุดแฮ็ก Metasploit ซึ่งเป็นส่วนหนึ่งของห่วงโซ่การแพร่ระบาด

นักวิจัยด้านความปลอดภัยทางไซเบอร์เตือนว่าองค์ประกอบบางอย่างของการโจมตี Shikitega เช่นเซิร์ฟเวอร์ Command-and-Control (C2, C&C) บางตัวนั้นโฮสต์บนบริการคลาวด์ที่ถูกต้อง ชิกิเตกะยังใช้ตัวเข้ารหัสแบบโพลีมอร์ฟิคเพื่อทำให้การตรวจจับด้วยโซลูชันป้องกันมัลแวร์ทำได้ยากยิ่งขึ้น