З’явилося зловмисне програмне забезпечення під назвою Shikitega, орієнтоване на Linux, націлене на кінцеві точки та пристрої Інтернету речей (IoT) за допомогою унікального багатоетапного ланцюга зараження, що призводить до повного захоплення пристрою та криптомайнера.
Дослідники з AT&T Alien Labs, які помітили поганий код, сказали, що потік атаки складається з серії модулів. Кожен модуль не тільки завантажує та виконує наступний, але кожен із цих рівнів служить певній меті, відповідно до Розміщення вівторка від Alien Labs.
Наприклад, встановлюється один модуль Metasploit “Mettle” Meterpreter, що дозволяє зловмисникам максимізувати свій контроль над зараженими машинами, маючи можливість виконувати код оболонки, перехоплювати веб-камери та інші функції тощо. Інший відповідає за використання двох уразливостей Linux (CVE-2021-3493
та CVE-2021-4034) для досягнення ескалації привілеїв як root і досягнення стійкості; і ще один виконує відомий криптомайнер XMRig для майнінгу Monero.
Інші помітні можливості зловмисного програмного забезпечення включають використання поліморфного кодувальника «Shikata Ga Nai» для перешкоди виявленню антивірусними механізмами; і зловживання легітимними хмарними службами для зберігання командно-контрольних серверів (C2). Згідно з дослідженням, C2 можна використовувати для надсилання різних команд оболонки зловмисному програмному забезпеченню, дозволяючи зловмисникам повністю контролювати ціль.
Зловмисне програмне забезпечення Linux зростає
Шикітега свідчить про тенденцію до кіберзлочинців розробка шкідливих програм для Linux За останні 12 місяців ця категорія різко зросла, кажуть дослідники Alien Labs, і досягла 650%.
Впровадження експлойтів помилок також зростає, додали вони.
«Актори загрози вважають сервери, кінцеві точки та пристрої Інтернету речей на базі операційних систем Linux усе більш і більш цінними та знаходять нові способи доставки своїх зловмисних корисних навантажень», — йдеться в публікації. «Новий шкідливі програми, такі як BotenaGo та EnemyBot
є прикладами того, як автори зловмисного програмного забезпечення швидко включають нещодавно виявлені вразливості, щоб знайти нових жертв і збільшити їх охоплення».
У зв’язку з цим Linux також стає популярною мішенню для програм-вимагачів: звіт від Trend Micro цього тижня визначили зростання на 75%. кількість атак програм-вимагачів, націлених на системи Linux, у першій половині 2022 року порівняно з тим самим періодом минулого року.
Як захиститися від інфекцій Shikitega
Террі Олаес, директор відділу продажів у Skybox Security, сказав, що хоча зловмисне програмне забезпечення може бути новим, звичайні засоби захисту все одно будуть важливі для запобігання зараженню Shikitega.
«Незважаючи на нові методи, які використовує Шикітега, він все ще покладається на перевірену архітектуру, C2 і доступ до Інтернету, щоб бути повністю ефективним», — сказав він у заяві, наданій Dark Reading. «Системним адміністраторам необхідно розглянути відповідний доступ до мережі для своїх хостів і оцінити елементи керування, які керують сегментацією. Можливість запитувати модель мережі, щоб визначити, де існує доступ до хмари, може значно допомогти зрозуміти та зменшити ризики для критичних середовищ».
Крім того, враховуючи те, що багато варіантів Linux приділяють увагу використанню помилок безпеки, він порадив компаніям, звичайно, зосередитися на виправленні. Він також запропонував включити спеціалізований процес виправлення пріоритетів, який легше сказати, ніж зробити.
«Це означає більш проактивний підхід до управління вразливістю, навчившись визначати та визначати пріоритети відкритих уразливостей у всьому ландшафті загроз», — сказав він. «Організації повинні переконатися, що вони мають рішення, здатні кількісно оцінити вплив кіберризиків на бізнес за допомогою факторів економічного впливу. Це допоможе їм визначити та визначити пріоритетність найбільш критичних загроз на основі розміру фінансового впливу, серед іншого аналізу ризиків, наприклад оцінки ризику на основі ризику».
Він додав: «Вони також повинні підвищити зрілість своїх програм управління вразливістю, щоб гарантувати, що вони можуть швидко виявити, чи впливає на них уразливість чи ні, наскільки терміново її виправити та які варіанти є для зазначеного усунення».
