Shikitega 恶意软件
网络犯罪分子正在使用一种名为 Shikitega 的复杂 Linux 恶意软件威胁来控制 Linux 系统和 IoT(物联网)设备。攻击者利用他们对被破坏设备的访问权限来传递加密挖掘威胁,但广泛的访问权限和获得的 root 权限使攻击者很容易根据需要进行转向并执行更具破坏性和侵入性的操作。
威胁通过由几个不同模块组件组成的复杂多阶段感染链部署在目标设备上。每个模块从 Shikitega 有效负载的前一部分接收指令,并通过下载和执行下一部分来结束其操作。
最初的 dropper 组件只有几百个字节,因此非常难以捉摸且难以检测。感染链的某些模块旨在利用 Linux 漏洞来实现持久性并建立对被破坏系统的控制。根据分析威胁的 AT&T Alien Labs 网络安全研究人员的报告,Shikitega 滥用了 CVE-2021-3493 和 CVE-2021-4034 漏洞。第一个被描述为 Linux 内核中的一个验证问题,导致攻击者获得提升的权限,而第二个是 polkit 的 pkexec 实用程序中的本地权限提升漏洞。由于这些漏洞,Shikitega 恶意软件的最后一部分以 root 权限执行。另一个重要细节是,作为其感染链的一部分,该威胁还提供了 Mettle,这是一种基于 Metasploit 黑客工具包的攻击性安全工具。
网络安全研究人员警告说,Shikitega 攻击的某些元素,例如一些命令和控制(C2、C&C)服务器,托管在合法的云服务上。 Shikitega 还利用多态编码器使其更难被反恶意软件解决方案检测到。
