Siber güvenlik araştırmacıları, enfekte olmuş sistemlerde kalıcılık sağlamak ve kredi kartı kopyalama kodunu gizlemek için alışılmadık bir teknik kullanan yeni bir gizli Linux kötü amaçlı yazılım parçasını ortaya çıkardı.
Finansal amaçlı bir tehdit aktörüne atfedilen kötü amaçlı yazılımın kod adı şöyle: sedeks Aon’un Stroz Friedberg olay müdahale hizmetleri ekibi tarafından.
Araştırmacılar Zachary Reichert, Daniel Stein ve Joshua Pivirotto, “2022’den beri aktif olan bu gelişmiş tehdit, saldırganlara ters kabuk yetenekleri ve gelişmiş gizlenme taktikleri sağlarken, açıkça görülebilecek şekilde gizleniyor” dedi.
Kötü niyetli kişilerin sürekli olarak doğaçlama yapıp mesleklerini geliştirmeleri ve tespit edilmekten kaçınmak için yeni tekniklere başvurmaları şaşırtıcı değil.
Sedexp’i dikkat çekici kılan şey, kalıcılığı sürdürmek için udev kurallarını kullanmasıdır. Device File System’ın yerine geçen Udev, aygıtları özelliklerine göre tanımlamak ve aygıt durumunda bir değişiklik olduğunda, yani bir aygıt takıldığında veya çıkarıldığında yanıt vermek üzere kuralları yapılandırmak için bir mekanizma sunar.
Udev kural dosyasındaki her satır en az bir kez anahtar-değer çifti içerir; bu sayede cihazları adlarına göre eşleştirmek ve çeşitli cihaz olayları algılandığında belirli eylemleri tetiklemek mümkün olur (örneğin, harici bir sürücü bağlandığında otomatik yedeklemeyi tetiklemek).
“Eşleşen bir kural, aygıt düğümünün adını belirtebilir, düğüme işaret eden sembolik bağlantılar ekleyebilir veya olay işlemenin bir parçası olarak belirtilen bir programı çalıştırabilir,” diyor SUSE Linux belgelerinde. “Eşleşen bir kural bulunmazsa, aygıt düğümünü oluşturmak için varsayılan aygıt düğümü adı kullanılır.”
Sedexp için udev kuralı — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — kötü amaçlı yazılımın, /dev/random (aygıtın alt sınırı 8’e karşılık gelir) yüklendiğinde, yani genellikle her yeniden başlatmada çalıştırılacak şekilde ayarlanmıştır.
Başka bir deyişle, RUN parametresinde belirtilen program, sistem her yeniden başlatıldığında çalıştırılır.
Kötü amaçlı yazılım, tehlikeye atılan bilgisayara uzaktan erişimi kolaylaştırmak için ters bir kabuk başlatma ve ls veya find gibi komutlardan “sedexp” dizesini içeren herhangi bir dosyayı gizlemek için belleği değiştirme yetenekleriyle birlikte gelir.
Stroz Friedberg, araştırdığı örneklerde bu yeteneğin web kabuklarını gizlemek, Apache yapılandırma dosyalarını değiştirmek ve udev kuralının kendisini gizlemek için kullanıldığını söyledi.
Araştırmacılar, “Kötü amaçlı yazılım, bir web sunucusunda kredi kartı kazıma kodunu gizlemek için kullanıldı ve bu da finansal kazanca odaklanıldığını gösteriyor,” dedi. “Sedexp’in keşfi, fidye yazılımının ötesinde finansal olarak motive olmuş tehdit aktörlerinin gelişen karmaşıklığını gösteriyor.”