Преди няколко дни Изследователите по сигурността откриха ново разнообразие от зловреден софтуер на Linux Изглежда, че е създаден от китайски хакери и е използван като средство за дистанционно управление на заразени системи.
Наречен HiddenWasp, Този зловреден софтуер се състои от руткит в потребителски режим, троянец и скрипт за първоначално внедряване.
За разлика от други злонамерени програми, които работят на Linux, кодът и събраните доказателства показват, че заразените компютри вече са компрометирани от същите тези хакери.
Следователно изпълнението на HiddenWasp би било напреднал етап във веригата на унищожаване на тази заплаха.
Въпреки че в статията се казва, че не знаем колко компютъра са заразени или как са изпълнени горните стъпки, трябва да се отбележи, че повечето програми от типа „Backdoor“ се инсталират чрез щракване върху обект. (връзка, изображение или изпълним файл), без потребителят да осъзнава, че това е заплаха.
Социалното инженерство, което е форма на атака, използвана от троянци, за да подмами жертвите да инсталират софтуерни пакети като HiddenWasp на техните компютри или мобилни устройства, може да бъде техниката, възприета от тези нападатели за постигане на целите им.
В стратегията си за бягство и възпиране комплектът използва bash скрипт, придружен от двоичен файл. Според изследователите на Intezer, файловете, изтеглени от Total Virus, имат път, който съдържа името на съдебно-медицинско общество със седалище в Китай.
Всичко за HiddenWasp
зловреден софтуер HiddenWasp се състои от три опасни компонента, като Rootkit, троянски коне и злонамерен скрипт.
Следните системи работят като част от заплахата.
- Локална манипулация на файлова система: Двигателят може да се използва за качване на всякакви файлове в хостовете на жертвата или за отвличане на всякаква потребителска информация, включително лична и системна информация. Това е особено тревожно, тъй като може да се използва за престъпления като финансова кражба и кражба на самоличност.
- Изпълнение на командата: основният механизъм може автоматично да стартира всички видове команди, включително тези с root права, ако е включен такъв байпас на защитата.
- Доставка на допълнителен полезен товар: създадените инфекции могат да се използват за инсталиране и стартиране на друг зловреден софтуер, включително сървъри за рансъмуер и криптовалута.
- Троянски операции: Злонамереният софтуер HiddenWasp Linux може да се използва, за да поеме контрола върху засегнатите компютри.
Освен това, зловредният софтуер ще бъде хостван на сървърите на физическа сървърна хостинг компания, наречена Think Dream, разположена в Хонг Конг.
„Злонамереният софтуер на Linux, все още непознат за други платформи, може да създаде нови предизвикателства пред общността за сигурност“, пише изследователят на Intezer Игнасио Санмилан в статията си
„Фактът, че тази злонамерена програма успява да остане под радара, трябва да бъде червен флаг за индустрията за сигурност да отдели повече усилия или ресурси за откриване на тези заплахи“, каза той.
Други експерти също коментираха въпроса, Том Хегел, изследовател по сигурността в AT&T Alien Labs:
„Има много неизвестни, тъй като частите от този набор от инструменти имат припокривания на код / повторна употреба с различни инструменти с отворен код. Въпреки това, въз основа на голям модел на припокриване и дизайн на инфраструктура, в допълнение към използването му в цели, ние уверено оценяваме връзката с Winnti Umbrella.
Тим Ерлин, вицепрезидент, управление на продукти и стратегия в Tripwire:
„HiddenWasp не е уникален по своята технология, освен насочването към Linux. Ако наблюдавате вашите Linux системи за критични промени в файлове или за поява на нови файлове или за други подозрителни промени, зловредният софтуер вероятно ще бъде идентифициран като HiddenWasp ”
Как да разбера, че системата ми е компрометирана?
За да проверят дали системата им е заразена, те могат да търсят файлове "ld.so". Ако някой от файловете не съдържа низа „/etc/ld.so.preload“, системата ви може да бъде компрометирана.
Това е така, защото троянският имплант ще се опита да закърпи копията на ld.so, за да наложи механизма LD_PRELOAD от произволни местоположения.
Fuente: https://www.intezer.com/