Er is een op Linux gerichte malware genaamd Shikitega ontstaan die zich richt op eindpunten en Internet of Things (IoT)-apparaten met een unieke, meertraps infectieketen die resulteert in volledige overname van het apparaat en een cryptominer.
Onderzoekers van AT&T Alien Labs die de slechte code ontdekten, zeiden dat de aanvalsstroom uit een reeks modules bestaat. Elke module downloadt en voert niet alleen de volgende uit, maar elk van deze lagen heeft een specifiek doel, volgens a dinsdag posten van Alien Labs.
Eén module wordt bijvoorbeeld geïnstalleerd Metasploit's "Mettle" Meterpreter, waarmee aanvallers hun controle over geïnfecteerde machines kunnen maximaliseren met de mogelijkheid om shell-code uit te voeren, webcams en andere functies over te nemen, en meer. Een ander is verantwoordelijk voor het misbruiken van twee Linux-kwetsbaarheden (CVE-2021-3493
en CVE-2021-4034) om privilege-escalatie als root te bereiken en persistentie te bereiken; en weer een ander voert de . uit bekende XMRig cryptominer voor het delven van Monero.
Andere opmerkelijke mogelijkheden van de malware zijn onder meer het gebruik van de "Shikata Ga Nai" polymorfe encoder om detectie door antivirus-engines te dwarsbomen; en het misbruik van legitieme cloudservices om command-and-control-servers (C2's) op te slaan. Volgens het onderzoek kunnen de C2's worden gebruikt om verschillende shell-commando's naar de malware te sturen, waardoor aanvallers volledige controle over het doelwit hebben.
Linux Malware-exploits nemen toe
Shikitega wijst op een trend richting cybercriminelen malware ontwikkelen voor Linux - de categorie is de afgelopen 12 maanden omhooggeschoten, zeiden onderzoekers van Alien Labs, met een stijging van 650%.
De integratie van bug-exploits neemt ook toe, voegde ze eraan toe.
"Bedreigingsactoren vinden servers, eindpunten en IoT-apparaten op basis van Linux-besturingssystemen steeds waardevoller en vinden nieuwe manieren om hun kwaadaardige payloads af te leveren", aldus het bericht. "Nieuw malware zoals BotenaGo en Vijandelijke Bot
zijn voorbeelden van hoe malwareschrijvers recent ontdekte kwetsbaarheden snel incorporeren om nieuwe slachtoffers te vinden en hun bereik te vergroten.”
Overigens wordt Linux ook een populair doelwit voor ransomware: een rapport van Trend Micro deze week identificeerde een stijging van 75% in ransomware-aanvallen gericht op Linux-systemen in de eerste helft van 2022 vergeleken met dezelfde periode vorig jaar.
Hoe te beschermen tegen Shikitega-infecties?
Terry Olaes, directeur sales engineering bij Skybox Security, zei dat hoewel de malware misschien nieuw is, conventionele verdedigingen nog steeds belangrijk zullen zijn om Shikitega-infecties te dwarsbomen.
"Ondanks de nieuwe methoden die door Shikitega worden gebruikt, is het nog steeds afhankelijk van beproefde architectuur, C2 en toegang tot internet, om volledig effectief te zijn", zei hij in een verklaring aan Dark Reading. “Sysadmins moeten de juiste netwerktoegang voor hun hosts overwegen en de controles evalueren die segmentatie regelen. In staat zijn om een netwerkmodel te bevragen om te bepalen waar cloudtoegang bestaat, kan een grote bijdrage leveren aan het begrijpen en verminderen van risico's voor kritieke omgevingen."
Ook, gezien de focus die veel Linux-varianten leggen op het incorporeren van exploits van beveiligingsbugs, adviseerde hij bedrijven om zich natuurlijk te concentreren op patching. Hij stelde ook voor om een op maat gemaakt patching-prioriteringsproces op te nemen, wat: is makkelijker gezegd dan gedaan.
"Dat betekent een meer proactieve benadering van kwetsbaarheidsbeheer door blootliggende kwetsbaarheden in het hele dreigingslandschap te leren identificeren en prioriteren", zei hij. “Organisaties moeten ervoor zorgen dat ze oplossingen hebben die de zakelijke impact van cyberrisico's kunnen kwantificeren met economische impactfactoren. Dit zal hen helpen bij het identificeren en prioriteren van de meest kritieke bedreigingen op basis van de omvang van de financiële impact, naast andere risicoanalyses, zoals op blootstelling gebaseerde risicoscores.”
Hij voegde eraan toe: "Ze moeten ook de volwassenheid van hun programma's voor kwetsbaarheidsbeheer verbeteren om ervoor te zorgen dat ze snel kunnen ontdekken of een kwetsbaarheid al dan niet gevolgen voor hen heeft, hoe dringend het is om deze te verhelpen en welke opties er zijn voor de oplossing."
