Shikitega Malware
Gumagamit ang mga cybercriminal ng isang sopistikadong banta ng malware sa Linux na pinangalanang Shikitega upang makakuha ng kontrol sa mga Linux system at IoT (Internet-of-Things) na mga device. Ginagamit ng mga umaatake ang kanilang pag-access sa mga nalabag na device upang maghatid ng banta sa crypto-mining, ngunit ang malawak na pag-access at ang nakuhang root privilege ay nagpapadali para sa mga umaatake na mag-pivot at magsagawa ng mas mapanirang at mapanghimasok na mga aksyon kung gusto nila.
Ang banta ay inilalagay sa mga naka-target na device sa pamamagitan ng isang kumplikadong multi-stage na chain ng impeksyon na binubuo ng ilang iba't ibang bahagi ng module. Ang bawat module ay tumatanggap ng mga tagubilin mula sa nakaraang bahagi ng Shikitega payload at tinatapos ang mga pagkilos nito sa pamamagitan ng pag-download at pagpapatupad ng susunod na bahagi.
Ang paunang bahagi ng dropper ay ilang daang byte lamang, na ginagawa itong medyo mailap at mahirap matukoy. Ang ilang partikular na module ng chain ng impeksyon ay idinisenyo upang samantalahin ang mga kahinaan ng Linux upang makamit ang pagtitiyaga at magtatag ng kontrol sa nilabag na sistema. Ayon sa isang ulat ng mga mananaliksik ng cybersecurity sa AT&T Alien Labs na nagsuri sa banta, inabuso ni Shikitega ang mga kahinaan ng CVE-2021-3493 at CVE-2021-4034. Ang una ay inilalarawan bilang isang isyu sa pagpapatunay sa Linux kernel na nangunguna sa mga umaatake upang makakuha ng mataas na mga pribilehiyo, habang ang pangalawa ay isang lokal na kahinaan sa pagdami ng pribilehiyo sa pkexec utility ng polkit. Salamat sa mga kahinaang ito, ang huling bahagi ng Shikitega malware ay isinasagawa nang may mga pribilehiyo sa ugat. Ang isa pang mahalagang detalye ay, bilang bahagi ng chain ng impeksyon nito, ang banta ay naghahatid din ng Mettle, isang nakakasakit na tool sa seguridad batay sa Metasploit hacking kit.
Nagbabala ang mga mananaliksik sa cybersecurity na ang ilang mga elemento ng pag-atake sa Shikitega, tulad ng ilan sa mga server ng Command-and-Control (C2, C&C), ay naka-host sa mga lehitimong serbisyo ng Cloud. Gumagamit din ang Shikitega ng polymorphic encoder para mas mahirapan ang pagtuklas ng mga solusyon sa anti-malware.
