Ilmunud on Linuxile keskendunud pahavara nimega Shikitega, mis sihib lõpp-punkte ja asjade Interneti (IoT) seadmeid ainulaadse mitmeastmelise nakkusahelaga, mille tulemuseks on täielik seadme ülevõtmine ja krüptomineer.
Halba koodi märganud AT&T Alien Labsi teadlased ütlesid, et rünnakuvoog koosneb mitmest moodulitest. Iga moodul mitte ainult ei laadi alla ega käivita järgmist, vaid kõik need kihid täidavad konkreetset eesmärki, vastavalt Teisipäevane postitus firmalt Alien Labs.
Näiteks installitakse üks moodul Metasploiti "Mettle" mõõtja, mis võimaldab ründajatel maksimeerida oma kontrolli nakatunud masinate üle, võimaldades käivitada shellkoodi, võtta üle veebikaamerad ja muud funktsioonid ning palju muud. Teine vastutab kahe Linuxi haavatavuse ärakasutamise eest (CVE-2021-3493
ja CVE-2021-4034) saavutada privileeg-eskalatsioon juurena ja saavutada püsivus; ja veel üks täidab tuntud XMRig krüptomineer Monero kaevandamiseks.
Pahavara täiendavad märkimisväärsed võimalused hõlmavad polümorfse kodeerija Shikata Ga Nai kasutamist, et takistada viirusetõrjemootorite tuvastamist; ja seaduslike pilveteenuste kuritarvitamist käsu- ja juhtimisserverite (C2) salvestamiseks. Uuringute kohaselt saab C2-sid kasutada pahavarale erinevate shell-käskude saatmiseks, võimaldades ründajatel sihtmärgi üle täielikku kontrolli.
Linuxi pahavara ärakasutamine tõusuteel
Shikitega näitab suundumust küberkurjategijate poole pahavara arendamine Linuxi jaoks - kategooria on viimase 12 kuu jooksul hüppeliselt tõusnud, ütlesid Alien Labsi teadlased, kasvades 650%.
Samuti on tõusuteel vigade ärakasutamiste kaasamine, lisasid nad.
"Ohutegijad peavad Linuxi operatsioonisüsteemidel põhinevaid servereid, lõpp-punkte ja asjade Interneti-seadmeid üha väärtuslikumaks ning leiavad uusi viise oma pahatahtliku kasuliku koormuse edastamiseks," seisab postituses. "Uus pahavara nagu BotenaGo ja EnemyBot
on näited sellest, kuidas pahavara kirjutajad lisavad kiiresti hiljuti avastatud turvaauke, et leida uusi ohvreid ja suurendada nende haaret.
Seoses sellega on Linuxist saamas populaarne sihtmärk ka lunavara jaoks: Trend Micro selle nädala aruanne tuvastas 75% kasvu Linuxi süsteemidele suunatud lunavararünnakutes 2022. aasta esimesel poolel võrreldes eelmise aasta sama perioodiga.
Kuidas kaitsta Shikitega infektsioonide eest
Skybox Security müügiinseneri direktor Terry Olaes ütles, et kuigi pahavara võib olla uudne, on tavapärased kaitsemeetmed Shikitega nakkuste tõkestamiseks siiski olulised.
"Hoolimata Shikitega kasutatud uudsetest meetoditest sõltub selle täielik tõhusus endiselt läbiproovitud arhitektuurist, C2-st ja Interneti-juurdepääsust," ütles ta Dark Readingule edastatud avalduses. "Süsteemiadministraatorid peavad kaaluma oma hostidele sobivat juurdepääsu võrgule ja hindama segmenteerimist reguleerivaid juhtelemente. Võrgumudeli päringu esitamine, et teha kindlaks, kus pilvele juurdepääs on olemas, võib aidata kriitiliste keskkondadega seotud riskide mõistmisel ja leevendamisel.
Arvestades ka seda, et paljud Linuxi variandid keskenduvad turbevigade ärakasutamisele, soovitas ta ettevõtetel loomulikult keskenduda lappimisele. Samuti soovitas ta lisada kohandatud paikamise ja prioriseerimise protsessi, mis on lihtsam öelda kui teha.
"See tähendab haavatavuse haldamisel ennetavamat lähenemist, õppides tuvastama ja tähtsuse järjekorda seadma avatud haavatavused kogu ohumaastikul," ütles ta. „Organisatsioonid peaksid tagama, et neil on lahendused, mis suudavad kvantifitseerida küberriskide ärimõju majanduslike mõjuteguritega. See aitab neil tuvastada ja seada tähtsuse järjekorda kõige kriitilisemad ohud, lähtudes finantsmõju suurusest, muu hulgas riskianalüüsidest, nagu kokkupuutepõhised riskiskoorid.
Ta lisas: "Nad peavad ka parandama oma haavatavuse haldusprogrammide küpsust, et nad saaksid kiiresti avastada, kas haavatavus mõjutab neid või mitte, kui kiireloomuline on selle parandamine ja millised on selle parandamise võimalused."
