A Shikitega névre keresztelt Linux-központú rosszindulatú program jelent meg, amely a végpontokat és a tárgyak internete (IoT) eszközöket célozza meg egyedi, többlépcsős fertőzési lánccal, amely teljes eszközátvételt és kriptominert eredményez.
Az AT&T Alien Labs kutatói, akik észrevették a rossz kódot, azt mondták, hogy a támadási folyamat egy sor modulból áll. Minden modul nemcsak letölti és végrehajtja a következőt, hanem ezeknek a rétegeknek mindegyike egy meghatározott célt szolgál. Keddi posztolás az Alien Labs-tól.
Például egy modul telepítve van A Metasploit „Mettle” mérőeszköze, amely lehetővé teszi a támadók számára, hogy maximalizálják az irányítást a fertőzött gépek felett, mivel képesek shell kódot futtatni, átvenni a webkamerák és egyéb funkciókat, és így tovább. Egy másik két Linux sebezhetőség kihasználásáért felelős (CVE-2021 3493-
és a CVE-2021 4034-) elérje a privilégium-eszkalációt gyökérként és elérje a kitartást; és még egy másik végrehajtja a jól ismert XMRig kriptomer Monero bányászatához.
A kártevő további figyelemre méltó képességei közé tartozik a „Shikata Ga Nai” polimorf kódoló használata a víruskereső motorok észlelésének megakadályozására; valamint a legitim felhőszolgáltatásokkal való visszaélés a parancs- és vezérlőszerverek (C2s) tárolására. A kutatás szerint a C2-k segítségével különféle shell-parancsokat lehet küldeni a kártevőknek, így a támadók teljes mértékben irányíthatják a célpontot.
A Linux rosszindulatú kizsákmányolása egyre növekszik
A Shikitega a kiberbűnözők felé irányuló tendenciát jelzi rosszindulatú programok fejlesztése Linuxra A kategória az elmúlt 12 hónapban az egekbe szökött, mondták az Alien Labs kutatói, 650%-kal.
A bug exploitok beépítése is növekszik – tették hozzá.
„A fenyegetés szereplői egyre értékesebbnek találják a Linux operációs rendszereken alapuló szervereket, végpontokat és IoT-eszközöket, és új módokat találnak rosszindulatú terheléseik továbbítására” – áll a közleményben. "Új rosszindulatú programok, mint a BotenaGo és a EnemyBot
példák arra, hogy a rosszindulatú programok írói miként építik be gyorsan a közelmúltban felfedezett sebezhetőségeket, hogy új áldozatokat találjanak és növeljék elérhetőségüket.”
Ehhez kapcsolódóan a Linux a zsarolóvírusok népszerű célpontjává válik: a Trend Micro e heti jelentése 75%-os növekedést állapított meg Linux rendszereket célzó ransomware támadásokban 2022 első felében az előző év azonos időszakához képest.
Hogyan védekezzünk a Shikitega fertőzések ellen
Terry Olaes, a Skybox Security értékesítési mérnöki igazgatója azt mondta, hogy bár a rosszindulatú program újszerű lehet, a hagyományos védekezések továbbra is fontosak lesznek a Shikitega fertőzések megelőzésében.
„A Shikitega által használt új módszerek ellenére még mindig a bevált architektúrára, a C2-re és az internethez való hozzáférésre van szükség ahhoz, hogy teljes mértékben hatékony legyen” – mondta a Dark Readingnek adott nyilatkozatában. „A rendszergazdáknak meg kell fontolniuk a megfelelő hálózati hozzáférést gazdagépeik számára, és ki kell értékelniük a szegmentálást szabályozó vezérlőket. Ha le tudunk kérdezni egy hálózati modellről annak meghatározására, hogy hol található a felhőalapú hozzáférés, az sokat segíthet a kritikus környezetek kockázatának megértésében és csökkentésében.”
Tekintettel arra, hogy sok Linux-változat a biztonsági hibák kihasználására helyezi a hangsúlyt, azt tanácsolta a vállalatoknak, hogy természetesen összpontosítsanak a javításra. Javasolta továbbá egy személyre szabott foltozási-prioritizálási folyamat beépítését, amely könnyebb mondani, mint megtenni.
"Ez azt jelenti, hogy proaktívabb megközelítést kell alkalmazni a sebezhetőségek kezelésében, megtanulva azonosítani és rangsorolni a fenyegetett sebezhetőségeket a teljes fenyegetési környezetben" - mondta. „A szervezeteknek biztosítaniuk kell, hogy olyan megoldásokkal rendelkezzenek, amelyek képesek számszerűsíteni a kiberkockázatok üzleti hatását a gazdasági hatástényezőkkel. Ez segít nekik azonosítani és rangsorolni a legkritikusabb fenyegetéseket a pénzügyi hatás nagysága alapján, más kockázatelemzések mellett, mint például a kitettség alapú kockázati pontszámok.”
Hozzátette: „Fel kell fejleszteniük sebezhetőség-kezelési programjaik érettségét is annak érdekében, hogy gyorsan felfedezhessék, hogy a sérülékenység érinti-e őket, mennyire sürgős a helyreállítás, és milyen lehetőségek állnak rendelkezésre a helyreállításra.”
