Un malware axé sur Linux, baptisé Shikitega, est apparu pour cibler les points finaux et les appareils Internet des objets (IoT) avec une chaîne d'infection unique à plusieurs étapes qui aboutit à une prise de contrôle complète de l'appareil et à un cryptomineur.
Les chercheurs d'AT&T Alien Labs qui ont repéré le mauvais code ont déclaré que le flux d'attaque se compose d'une série de modules. Chaque module non seulement télécharge et exécute le suivant, mais chacune de ces couches répond à un objectif spécifique, selon un publication du mardi d'Alien Labs.
Par exemple, un module installe Meterpreter « Courage » de Metasploit, qui permet aux attaquants de maximiser leur contrôle sur les machines infectées avec la possibilité d'exécuter du code shell, de prendre le contrôle des webcams et d'autres fonctions, et bien plus encore. Un autre est chargé d'exploiter deux vulnérabilités Linux (CVE-2021-3493
ainsi que le CVE-2021-4034) pour obtenir une élévation de privilèges en tant que root et assurer la persistance ; et encore un autre exécute le cryptomineur XMRig bien connu pour l'exploitation minière de Monero.
D'autres fonctionnalités notables du logiciel malveillant incluent l'utilisation de l'encodeur polymorphe « Shikata Ga Nai » pour contrecarrer la détection par les moteurs antivirus ; et l'abus de services cloud légitimes pour stocker des serveurs de commande et de contrôle (C2). Selon les recherches, les C2 peuvent être utilisés pour envoyer diverses commandes shell au malware, permettant ainsi aux attaquants un contrôle total sur la cible.
Les exploits de logiciels malveillants Linux en hausse
Shikitega est révélateur d'une tendance vers les cybercriminels développer des logiciels malveillants pour Linux – la catégorie a grimpé en flèche au cours des 12 derniers mois, ont déclaré les chercheurs d'Alien Labs, avec une hausse de 650 %.
L'incorporation d'exploits de bugs est également en augmentation, ont-ils ajouté.
« Les acteurs malveillants trouvent de plus en plus précieux les serveurs, les points finaux et les appareils IoT basés sur les systèmes d'exploitation Linux et trouvent de nouveaux moyens de diffuser leurs charges utiles malveillantes », selon la publication. "Nouveau malwares comme BotenaGo ainsi que le EnnemiBot
sont des exemples de la façon dont les auteurs de logiciels malveillants intègrent rapidement les vulnérabilités récemment découvertes pour trouver de nouvelles victimes et accroître leur portée.
Dans le même ordre d'idées, Linux devient également une cible populaire pour les ransomwares : un rapport de Trend Micro cette semaine identifié une augmentation de 75 % des attaques de ransomware ciblant les systèmes Linux au premier semestre 2022 par rapport à la même période de l’année dernière.
Comment se protéger contre les infections à Shikitega
Terry Olaes, directeur de l'ingénierie commerciale chez Skybox Security, a déclaré que même si le malware est nouveau, les défenses conventionnelles resteront importantes pour contrecarrer les infections à Shikitega.
"Malgré les nouvelles méthodes utilisées par Shikitega, il dépend toujours d'une architecture éprouvée, C2, et de l'accès à Internet, pour être pleinement efficace", a-t-il déclaré dans une déclaration fournie à Dark Reading. « Les administrateurs système doivent envisager un accès réseau approprié pour leurs hôtes et évaluer les contrôles qui régissent la segmentation. Être capable d'interroger un modèle de réseau pour déterminer où existe l'accès au cloud peut grandement contribuer à comprendre et à atténuer les risques pour les environnements critiques.
En outre, étant donné l'accent mis par de nombreuses variantes de Linux sur l'intégration d'exploits de bogues de sécurité, il a conseillé aux entreprises de se concentrer bien sûr sur l'application de correctifs. Il a également suggéré d'incorporer un processus de priorisation des correctifs sur mesure, qui c'est plus facile à dire qu'à faire.
« Cela signifie adopter une approche plus proactive de la gestion des vulnérabilités en apprenant à identifier et à hiérarchiser les vulnérabilités exposées dans l’ensemble du paysage des menaces », a-t-il déclaré. « Les organisations doivent s’assurer qu’elles disposent de solutions capables de quantifier l’impact commercial des cyber-risques avec des facteurs d’impact économique. Cela les aidera à identifier et à prioriser les menaces les plus critiques en fonction de l’ampleur de l’impact financier, entre autres analyses de risques, telles que les scores de risque basés sur l’exposition.
Il a ajouté : « Ils doivent également améliorer la maturité de leurs programmes de gestion des vulnérabilités pour s'assurer qu'ils peuvent découvrir rapidement si une vulnérabilité les affecte ou non, dans quelle mesure il est urgent d'y remédier et quelles sont les options disponibles pour cette remédiation. »
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
