Shikitega 惡意軟件
網絡犯罪分子正在使用一種名為 Shikitega 的複雜 Linux 惡意軟件威脅來控制 Linux 系統和 IoT(物聯網)設備。攻擊者利用他們對被破壞設備的訪問權限來傳遞加密挖掘威脅,但廣泛的訪問權限和獲得的 root 權限使攻擊者很容易根據需要進行轉向並執行更具破壞性和侵入性的操作。
威脅通過由幾個不同模塊組件組成的複雜多階段感染鏈部署在目標設備上。每個模塊從 Shikitega 有效負載的前一部分接收指令,並通過下載和執行下一部分來結束其操作。
最初的 dropper 組件只有幾百個字節,因此非常難以捉摸且難以檢測。感染鏈的某些模塊旨在利用 Linux 漏洞來實現持久性並建立對被破壞系統的控制。根據分析威脅的 AT&T Alien Labs 網絡安全研究人員的報告,Shikitega 濫用了 CVE-2021-3493 和 CVE-2021-4034 漏洞。第一個被描述為 Linux 內核中的一個驗證問題,導致攻擊者獲得提升的權限,而第二個是 polkit 的 pkexec 實用程序中的本地權限提升漏洞。由於這些漏洞,Shikitega 惡意軟件的最後一部分以 root 權限執行。另一個重要細節是,作為其感染鏈的一部分,該威脅還提供了 Mettle,這是一種基於 Metasploit 黑客工具包的攻擊性安全工具。
網絡安全研究人員警告說,Shikitega 攻擊的某些元素,例如一些命令和控制(C2、C&C)服務器,託管在合法的雲服務上。 Shikitega 還利用多態編碼器使其更難被反惡意軟件解決方案檢測到。
