Un malware incentrato su Linux chiamato Shikitega è emerso per prendere di mira gli endpoint e i dispositivi Internet of Things (IoT) con una catena di infezione unica e multistadio che si traduce in un'acquisizione completa del dispositivo e un cryptominer.
I ricercatori di AT&T Alien Labs che hanno individuato il codice errato hanno affermato che il flusso di attacco è costituito da una serie di moduli. Ogni modulo non solo scarica ed esegue quello successivo, ma ciascuno di questi livelli ha uno scopo specifico, secondo a Invio del martedì dai laboratori alieni.
Ad esempio, viene installato un modulo Meterpreter "Coraggio" di Metasploit, che consente agli aggressori di massimizzare il controllo sulle macchine infette con la possibilità di eseguire codice shell, impossessarsi di webcam e altre funzioni e altro ancora. Un altro è responsabile dello sfruttamento di due vulnerabilità di Linux (CVE-2021-3493
ed CVE-2021-4034) per ottenere l'escalation dei privilegi come root e raggiungere la persistenza; e ancora un altro esegue il noto cryptominer XMRig per estrarre Monero.
Ulteriori notevoli capacità del malware includono l'uso del codificatore polimorfico "Shikata Ga Nai" per contrastare il rilevamento da parte dei motori antivirus; e l'abuso di servizi cloud legittimi per archiviare server di comando e controllo (C2). Secondo la ricerca, i C2 possono essere utilizzati per inviare vari comandi shell al malware, consentendo agli aggressori il pieno controllo del bersaglio.
Exploit di malware Linux in aumento
Shikitega è indicativo di una tendenza verso i criminali informatici sviluppare malware per Linux - la categoria è salita alle stelle negli ultimi 12 mesi, hanno detto i ricercatori di Alien Labs, raggiungendo il 650%.
Anche l'incorporazione di exploit di bug è in aumento, hanno aggiunto.
"Gli attori delle minacce trovano sempre più preziosi server, endpoint e dispositivi IoT basati su sistemi operativi Linux e trovano nuovi modi per fornire i loro payload dannosi", secondo il post. "Nuovo malware come BotenaGo ed EnemyBot
sono esempi di come gli autori di malware incorporino rapidamente vulnerabilità scoperte di recente per trovare nuove vittime e aumentare la loro portata”.
In una nota correlata, anche Linux sta diventando un obiettivo popolare per il ransomware: un rapporto di Trend Micro questa settimana identificato un aumento del 75%. negli attacchi ransomware contro i sistemi Linux nella prima metà del 2022 rispetto allo stesso periodo dell'anno scorso.
Come proteggersi dalle infezioni da Shikitega
Terry Olaes, direttore dell'ingegneria delle vendite presso Skybox Security, ha affermato che mentre il malware potrebbe essere nuovo, le difese convenzionali saranno comunque importanti per contrastare le infezioni di Shikitega.
"Nonostante i nuovi metodi utilizzati da Shikitega, per essere pienamente efficace fa ancora affidamento su un'architettura collaudata, C2 e sull'accesso a Internet", ha affermato in una dichiarazione fornita a Dark Reading. “Gli amministratori di sistema devono considerare l'accesso di rete appropriato per i loro host e valutare i controlli che regolano la segmentazione. Essere in grado di interrogare un modello di rete per determinare dove esiste l'accesso al cloud può fare molto per comprendere e mitigare il rischio per gli ambienti critici".
Inoltre, data l'attenzione che molte varianti di Linux pongono nell'incorporare exploit di bug di sicurezza, ha consigliato alle aziende di concentrarsi, ovviamente, sulle patch. Ha anche suggerito di incorporare un processo di definizione delle priorità di patch su misura, che è più facile a dirsi che a farsi.
"Ciò significa adottare un approccio più proattivo alla gestione delle vulnerabilità imparando a identificare e dare priorità alle vulnerabilità esposte nell'intero panorama delle minacce", ha affermato. “Le organizzazioni dovrebbero assicurarsi di disporre di soluzioni in grado di quantificare l'impatto aziendale dei rischi informatici con fattori di impatto economico. Ciò li aiuterà a identificare e dare priorità alle minacce più critiche in base alla dimensione dell'impatto finanziario, tra le altre analisi del rischio, come i punteggi di rischio basati sull'esposizione".
Ha aggiunto: "Devono anche migliorare la maturità dei loro programmi di gestione delle vulnerabilità per assicurarsi di poter scoprire rapidamente se una vulnerabilità li colpisce o meno, quanto sia urgente rimediare e quali opzioni ci sono per tale rimedio".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
