มัลแวร์ Linux รุ่นต่อไปเข้าควบคุมอุปกรณ์ด้วยชุดเครื่องมือที่ไม่เหมือนใคร

มัลแวร์ที่เน้น Linux ซึ่งมีชื่อว่า Shikitega ได้ปรากฏตัวขึ้นเพื่อกำหนดเป้าหมายอุปกรณ์ปลายทางและอุปกรณ์ Internet of Things (IoT) ด้วยห่วงโซ่การติดเชื้อหลายขั้นตอนที่ไม่เหมือนใคร ซึ่งส่งผลให้อุปกรณ์ทั้งหมดถูกครอบครองและ cryptominer

นักวิจัยจาก AT&T Alien Labs ซึ่งพบรหัสที่ไม่ถูกต้องกล่าวว่ากระแสการโจมตีประกอบด้วยชุดของโมดูล แต่ละโมดูลไม่เพียงแค่ดาวน์โหลดและดำเนินการโมดูลถัดไปเท่านั้น แต่แต่ละเลเยอร์เหล่านี้ทำหน้าที่ตามวัตถุประสงค์เฉพาะ ตาม โพสต์วันอังคาร จาก Alien Labs

ตัวอย่างเช่น หนึ่งโมดูลติดตั้ง เครื่องวัด "Mettle" ของ Metasploitซึ่งช่วยให้ผู้โจมตีสามารถควบคุมเครื่องที่ติดไวรัสได้สูงสุดด้วยความสามารถในการเรียกใช้เชลล์โค้ด เข้าควบคุมเว็บแคมและฟังก์ชันอื่นๆ และอื่นๆ อีกมากมาย อีกอันมีหน้าที่รับผิดชอบในการใช้ประโยชน์จากช่องโหว่ของ Linux สองช่องโหว่ (CVE-2021-3493
และ CVE-2021-4034) เพื่อให้บรรลุถึงการยกระดับสิทธิ์ในฐานะรูทและบรรลุผลคงอยู่; และอีกอันดำเนินการ XMRig cryptominer ที่รู้จักกันดี สำหรับการขุด Monero

ความสามารถที่โดดเด่นเพิ่มเติมในมัลแวร์ ได้แก่ การใช้ตัวเข้ารหัสแบบโพลีมอร์ฟิก “Shikata Ga Nai” เพื่อขัดขวางการตรวจจับโดยเครื่องมือป้องกันไวรัส และการใช้บริการคลาวด์ที่ถูกต้องตามกฎหมายในทางที่ผิดเพื่อจัดเก็บเซิร์ฟเวอร์คำสั่งและการควบคุม (C2s) จากการวิจัยพบว่า C2 สามารถใช้เพื่อส่งคำสั่งเชลล์ต่างๆ ไปยังมัลแวร์ ทำให้ผู้โจมตีสามารถควบคุมเป้าหมายได้อย่างเต็มที่

มัลแวร์ Linux ใช้ประโยชน์ที่เพิ่มขึ้น

Shikitega บ่งบอกถึงแนวโน้มของอาชญากรไซเบอร์ การพัฒนามัลแวร์สำหรับ Linux — หมวดหมู่ดังกล่าวพุ่งสูงขึ้นอย่างรวดเร็วในช่วง 12 เดือนที่ผ่านมา นักวิจัยของ Alien Labs กล่าว โดยเพิ่มขึ้นถึง 650%

การรวมตัวกันของการหาประโยชน์จากข้อบกพร่องก็เพิ่มขึ้นเช่นกัน

“ผู้คุกคามค้นหาเซิร์ฟเวอร์ อุปกรณ์ปลายทาง และอุปกรณ์ IoT ที่ใช้ระบบปฏิบัติการ Linux มีค่ามากขึ้นเรื่อยๆ และค้นหาวิธีใหม่ๆ ในการส่งมอบเพย์โหลดที่เป็นอันตราย” ตามโพสต์ "ใหม่ มัลแวร์เช่น BotenaGo และ ศัตรูบอต
เป็นตัวอย่างของวิธีที่ผู้เขียนมัลแวร์รวมช่องโหว่ที่เพิ่งค้นพบอย่างรวดเร็วเพื่อค้นหาเหยื่อรายใหม่และเพิ่มการเข้าถึง”

ในบันทึกที่เกี่ยวข้อง Linux กำลังกลายเป็นเป้าหมายยอดนิยมสำหรับแรนซัมแวร์เช่นกัน: รายงานจาก Trend Micro ในสัปดาห์นี้ ระบุว่าเพิ่มขึ้น 75% ในการโจมตีแรนซัมแวร์ที่กำหนดเป้าหมายระบบลีนุกซ์ในช่วงครึ่งแรกของปี 2022 เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว

วิธีการป้องกันการติดเชื้อ Shikitega

Terry Olaes ผู้อำนวยการฝ่ายวิศวกรรมการขายของ Skybox Security กล่าวว่า แม้ว่ามัลแวร์อาจเป็นเรื่องแปลกใหม่ แต่การป้องกันแบบเดิมยังคงมีความสำคัญต่อการป้องกันการติดเชื้อ Shikitega

“แม้จะมีวิธีการใหม่ๆ ที่ Shikitega ใช้ แต่ก็ยังคงอาศัยสถาปัตยกรรม C2 และการเข้าถึงอินเทอร์เน็ตที่ได้รับการทดลองแล้วจริง เพื่อให้มีประสิทธิภาพอย่างเต็มที่” เขากล่าวในแถลงการณ์ที่ส่งให้กับ Dark Reading “ผู้ดูแลระบบจำเป็นต้องพิจารณาการเข้าถึงเครือข่ายที่เหมาะสมสำหรับโฮสต์ของตน และประเมินการควบคุมที่ควบคุมการแบ่งส่วน ความสามารถในการสืบค้นแบบจำลองเครือข่ายเพื่อระบุว่ามีการเข้าถึงระบบคลาวด์ที่ใดสามารถช่วยให้เข้าใจและลดความเสี่ยงต่อสภาพแวดล้อมที่สำคัญได้”

นอกจากนี้ เนื่องจากลีนุกซ์รุ่นต่างๆ ให้ความสำคัญกับการรวมเอาช่องโหว่ด้านความปลอดภัยเข้าไว้ด้วยกัน เขาแนะนำให้บริษัทต่างๆ แน่นอน ให้ความสำคัญกับการแพตช์ นอกจากนี้เขายังแนะนำให้รวมกระบวนการจัดลำดับความสำคัญของการแพตช์ที่ปรับให้เหมาะสม ซึ่ง พูดง่ายกว่าทำ.

“นั่นหมายถึงการใช้แนวทางเชิงรุกในการจัดการช่องโหว่โดยการเรียนรู้ที่จะระบุและจัดลำดับความสำคัญของช่องโหว่ที่เปิดเผยทั่วทั้งแนวภัยคุกคาม” เขากล่าว “องค์กรควรมั่นใจว่ามีโซลูชันที่สามารถวัดผลกระทบทางธุรกิจจากความเสี่ยงทางไซเบอร์กับปัจจัยผลกระทบทางเศรษฐกิจ ซึ่งจะช่วยให้พวกเขาระบุและจัดลำดับความสำคัญของภัยคุกคามที่สำคัญที่สุดตามขนาดของผลกระทบทางการเงิน ท่ามกลางการวิเคราะห์ความเสี่ยงอื่นๆ เช่น คะแนนความเสี่ยงตามความเสี่ยง”

เขากล่าวเสริมว่า “พวกเขายังต้องปรับปรุงความสมบูรณ์ของโปรแกรมการจัดการช่องโหว่เพื่อให้แน่ใจว่าพวกเขาสามารถค้นพบได้อย่างรวดเร็วว่าช่องโหว่นั้นส่งผลกระทบต่อพวกเขาหรือไม่ การแก้ไขเร่งด่วนเพียงใด และมีตัวเลือกใดบ้างสำหรับการแก้ไขดังกล่าว”