adı verilen yeni bir gizli Linux kötü amaçlı yazılım parçası Şikitega uç noktaları ve IoT cihazlarını tehlikeye atmak ve ek yükleri depolamak için çok aşamalı bir enfeksiyon zinciri benimseyerek ortaya çıkarıldı.
AT&T Alien Labs Salı günü yayınlanan yeni bir raporda, “Bir saldırgan, yürütülecek ve devam edecek kripto para birimi madencisine ek olarak sistemin tam kontrolünü ele geçirebilir.” Dedi.
Bulgular, BPFDoor, Symbiote, Syslogk, OrBit ve Lightning Framework dahil olmak üzere son aylarda vahşi ortamda bulunan ve büyüyen bir Linux kötü amaçlı yazılım listesine ekleniyor.
Saldırı zinciri, hedeflenen bir ana bilgisayara yerleştirildikten sonra, kontrolü en üst düzeye çıkarmak için Metasploit’in “Mettle” yorumlayıcısını indirir ve yürütür, ayrıcalıklarını yükseltmek için güvenlik açıklarından yararlanır, crontab aracılığıyla ana bilgisayara kalıcılık ekler ve nihayetinde virüslü cihazlarda bir kripto para birimi madencisini başlatır.
İlk uzlaşmanın sağlanacağı kesin yöntem henüz bilinmiyor, ancak Shikitega’yı kaçamak yapan şey, bir komut ve kontrol (C2) sunucusundan sonraki aşama yüklerini indirme ve bunları doğrudan bellekte yürütme yeteneğidir.
Ayrıcalık yükseltme, CVE-2021-4034 (diğer adıyla PwnKit) ve CVE-2021-3493’ten yararlanılarak elde edilir, bu da düşmanın kalıcılık oluşturmak ve Monero kripto madencisi.
Kötü amaçlı yazılım operatörleri, radara yakalanmamak için başka bir girişimde, antivirüs motorları tarafından tespit edilmesini ve C2 işlevleri için meşru bulut hizmetlerini kötüye kullanılmasını zorlaştırmak için bir “Shikata ga nai” polimorfik kodlayıcı kullanır.
AT&T Alien Labs araştırmacısı Ofer Caspi, “Tehdit aktörleri, radarın altında kalmak ve tespit edilmekten kaçınmak için yeni yollarla kötü amaçlı yazılım sunmanın yollarını aramaya devam ediyor.” Dedi.
“Shiketega kötü amaçlı yazılımı sofistike bir şekilde teslim edilir, polimorfik bir kodlayıcı kullanır ve her adımın toplam yükün yalnızca bir kısmını ortaya çıkardığı yükünü kademeli olarak iletir.”