Зловмисне програмне забезпечення Shikitega

Кіберзлочинці використовують складне шкідливе програмне забезпечення Linux під назвою Shikitega, щоб отримати контроль над системами Linux і пристроями IoT (Інтернет речей). Зловмисники використовують свій доступ до зламаних пристроїв, щоб створити загрозу криптоманінгу, але широкий доступ і отримані привілеї root дозволяють зловмисникам легко повертатися та виконувати набагато більш руйнівні та втручливі дії, якщо вони цього бажають.

Загроза розгортається на цільових пристроях через складний багатоетапний ланцюг зараження, що складається з кількох різних компонентів модуля. Кожен модуль отримує інструкції від попередньої частини корисного навантаження Shikitega і завершує свої дії завантаженням і виконанням наступної частини.

Початковий компонент дроппера становить лише пару сотень байт, що робить його досить невловимим і його важко виявити. Певні модулі ланцюга зараження призначені для використання вразливостей Linux для досягнення стійкості та встановлення контролю над зламаною системою. Відповідно до звіту дослідників кібербезпеки з AT&T Alien Labs, які проаналізували загрозу, Шикітега зловживав уразливістю CVE-2021-3493 і CVE-2021-4034. Перший описується як проблема перевірки в ядрі Linux, через яку зловмисники отримують підвищені привілеї, тоді як другий є вразливістю локального підвищення привілеїв у утиліті pkexec від polkit. Завдяки цим уразливостям остання частина шкідливого програмного забезпечення Shikitega виконується з правами root. Ще одна важлива деталь полягає в тому, що в рамках свого ланцюга зараження загроза також доставляє Mettle, агресивний інструмент безпеки на основі хакерського набору Metasploit.

Дослідники з кібербезпеки попереджають, що деякі елементи атаки Shikitega, такі як деякі сервери командування та контролю (C2, C&C), розміщені на легальних хмарних службах. Shikitega також використовує поліморфний кодувальник, щоб ще більше ускладнити виявлення за допомогою рішень для захисту від шкідливих програм.