En Linux-fokusert skadelig programvare kalt Shikitega har dukket opp for å målrette mot endepunkter og Internet of Things (IoT)-enheter med en unik, flertrinns infeksjonskjede som resulterer i full enhetsovertakelse og en kryptominer.
Forskere ved AT&T Alien Labs som oppdaget den dårlige koden sa at angrepsflyten består av en serie moduler. Hver modul laster ikke bare ned og kjører den neste, men hvert av disse lagene tjener et bestemt formål, ifølge en Tirsdag innlegg fra Alien Labs.
For eksempel installeres én modul Metasploits "Mettle" Meterpreter, som lar angripere maksimere kontrollen over infiserte maskiner med muligheten til å utføre skallkode, overta webkameraer og andre funksjoner og mer. En annen er ansvarlig for å utnytte to Linux-sårbarheter (CVE-2021-3493
og CVE-2021-4034) å oppnå privilegie-eskalering som root og oppnå utholdenhet; og enda en annen utfører velkjent XMRig kryptominer for gruvedrift av Monero.
Ytterligere bemerkelsesverdige funksjoner i skadelig programvare inkluderer bruken av "Shikata Ga Nai" polymorfe koder for å hindre gjenkjenning av antivirusmotorer; og misbruk av legitime skytjenester for å lagre kommando-og-kontrollservere (C2s). I følge forskningen kan C2-ene brukes til å sende forskjellige skallkommandoer til skadevaren, slik at angripere får full kontroll over målet.
Malware utnytter Linux på vei oppover
Shikitega er et tegn på en trend mot nettkriminelle utvikle malware for Linux — kategorien har skutt i været de siste 12 månedene, sa Alien Labs-forskere, med en topp på 650 %.
Inkorporeringen av feilutnyttelser er også på vei oppover, la de til.
"Trusselaktører finner servere, endepunkter og IoT-enheter basert på Linux-operativsystemer mer og mer verdifulle og finner nye måter å levere sine ondsinnede nyttelaster på," ifølge innlegget. "Ny skadelig programvare som BotenaGo og EnemyBot
er eksempler på hvordan skadevareforfattere raskt inkorporerer nylig oppdagede sårbarheter for å finne nye ofre og øke rekkevidden deres.»
På et relatert notat blir Linux også et populært mål for løsepengevare: En rapport fra Trend Micro denne uken identifisert en økning på 75 % i løsepenge-angrep rettet mot Linux-systemer i første halvdel av 2022 sammenlignet med samme periode i fjor.
Slik beskytter du deg mot Shikitega-infeksjoner
Terry Olaes, direktør for salgsingeniør hos Skybox Security, sa at selv om skadevaren kan være ny, vil konvensjonelle forsvar fortsatt være viktig for å hindre Shikitega-infeksjoner.
"Til tross for de nye metodene som brukes av Shikitega, er den fortsatt avhengig av utprøvd arkitektur, C2, og tilgang til Internett, for å være fullt effektiv," sa han i en uttalelse gitt til Dark Reading. «Sysadmins må vurdere passende nettverkstilgang for vertene sine, og evaluere kontrollene som styrer segmentering. Å være i stand til å spørre etter en nettverksmodell for å finne ut hvor skytilgang finnes, kan gå en lang vei mot å forstå og redusere risiko for kritiske miljøer."
I tillegg, gitt fokuset som mange Linux-varianter legger på å inkorporere sikkerhetsfeilutnyttelser, rådet han selskaper til selvfølgelig å fokusere på oppdatering. Han foreslo også å innlemme en skreddersydd patching-prioriteringsprosess, som er lettere sagt enn gjort.
"Det betyr å ta en mer proaktiv tilnærming til sårbarhetshåndtering ved å lære å identifisere og prioritere utsatte sårbarheter på tvers av hele trussellandskapet," sa han. "Organisasjoner bør sikre at de har løsninger som er i stand til å kvantifisere forretningseffekten av cyberrisikoer med økonomiske påvirkningsfaktorer. Dette vil hjelpe dem med å identifisere og prioritere de mest kritiske truslene basert på størrelsen på den økonomiske konsekvensen, blant andre risikoanalyser, for eksempel eksponeringsbaserte risikoscore.»
Han la til, "De må også forbedre modenheten til sårbarhetshåndteringsprogrammene deres for å sikre at de raskt kan oppdage om en sårbarhet påvirker dem eller ikke, hvor presserende det er å utbedre, og hvilke alternativer som finnes for nevnte utbedring."
