En Linux-fokuserad skadlig programvara kallad Shikitega har dykt upp för att rikta in sig på endpoints och Internet of Things (IoT)-enheter med en unik, flerstegsinfektionskedja som resulterar i ett fullständigt enhetsövertagande och en kryptominerare.
Forskare vid AT&T Alien Labs som upptäckte den dåliga koden sa att attackflödet består av en serie moduler. Varje modul laddar inte bara ner och kör nästa, utan vart och ett av dessa lager tjänar ett specifikt syfte, enligt en Tisdagsinlägg från Alien Labs.
Till exempel installeras en modul Metasploits "Mettle" Meterpreter, vilket gör att angripare kan maximera sin kontroll över infekterade maskiner med möjligheten att exekvera skalkod, ta över webbkameror och andra funktioner med mera. En annan är ansvarig för att utnyttja två Linux-sårbarheter (CVE-2021-3493
och CVE-2021-4034) att uppnå privilegieupptrappning som rot och uppnå uthållighet; och ännu en annan utför välkänd XMRig kryptominer för gruvdrift Monero.
Ytterligare anmärkningsvärda funktioner i skadlig programvara inkluderar användningen av "Shikata Ga Nai" polymorfa kodare för att förhindra upptäckt av antivirusmotorer; och missbruk av legitima molntjänster för att lagra kommando-och-kontrollservrar (C2s). Enligt forskningen kan C2s användas för att skicka olika skalkommandon till skadlig programvara, vilket ger angripare full kontroll över målet.
Linux skadlig programvara på väg uppåt
Shikitega är ett tecken på en trend mot cyberkriminella utvecklar skadlig programvara för Linux — kategorin har skjutit i höjden under de senaste 12 månaderna, sa Alien Labs forskare, med en topp på 650%.
Införlivandet av buggar ökar också, tillade de.
"Hotaktörer finner servrar, slutpunkter och IoT-enheter baserade på Linux-operativsystem mer och mer värdefulla och hittar nya sätt att leverera sina skadliga nyttolaster", enligt inlägget. "Ny skadlig programvara som BotenaGo och EnemyBot
är exempel på hur skribenter av skadlig programvara snabbt införlivar nyligen upptäckta sårbarheter för att hitta nya offer och öka deras räckvidd.”
På en relaterad anteckning blir Linux också ett populärt mål för ransomware: En rapport från Trend Micro denna vecka identifierade en ökning med 75 % i ransomware-attacker riktade mot Linux-system under första halvåret 2022 jämfört med samma period förra året.
Hur man skyddar sig mot Shikitega-infektioner
Terry Olaes, chef för försäljningsteknik på Skybox Security, sa att även om skadlig programvara kan vara ny, kommer konventionella försvar fortfarande att vara viktiga för att motverka Shikitega-infektioner.
"Trots de nya metoderna som används av Shikitega, är den fortfarande beroende av beprövad arkitektur, C2, och tillgång till Internet, för att vara fullt effektiv", sade han i ett uttalande till Dark Reading. "Sysadmins måste överväga lämplig nätverksåtkomst för sina värdar och utvärdera kontrollerna som styr segmenteringen. Att kunna fråga en nätverksmodell för att avgöra var molnåtkomst finns kan gå långt mot att förstå och minska risker för kritiska miljöer.”
Med tanke på det fokus som många Linux-varianter lägger på att införliva säkerhetsfel, rådde han företag att naturligtvis fokusera på patchning. Han föreslog också att införliva en skräddarsydd patch-prioriteringsprocess, vilket är lättare sagt än gjort.
"Det innebär att ta ett mer proaktivt förhållningssätt till sårbarhetshantering genom att lära sig att identifiera och prioritera utsatta sårbarheter över hela hotlandskapet," sa han. "Organisationer bör se till att de har lösningar som kan kvantifiera affärseffekterna av cyberrisker med ekonomiska påverkansfaktorer. Detta kommer att hjälpa dem att identifiera och prioritera de mest kritiska hoten baserat på storleken på den ekonomiska effekten, bland andra riskanalyser, såsom exponeringsbaserade riskpoäng.”
Han tillade, "De måste också förbättra mognaden i sina program för sårbarhetshantering för att säkerställa att de snabbt kan upptäcka om en sårbarhet påverkar dem eller inte, hur brådskande det är att åtgärda och vilka alternativ som finns för nämnda åtgärdande."
