Před pár dny Výzkumníci v oblasti zabezpečení objevili novou řadu malwaru Linux který se zdá být vytvořen čínskými hackery a byl používán jako prostředek pro dálkové ovládání infikovaných systémů.
Volal HiddenWasp, Tento malware se skládá z rootkitu uživatelského režimu, trojského koně a skriptu počátečního nasazení.
Na rozdíl od jiných škodlivých programů, které běží na Linuxu, kód a shromážděné důkazy ukazují, že infikované počítače již byly napadeny stejnými hackery.
Poprava HiddenWaspu by tedy byla pokročilým stupněm v řetězci ničení této hrozby.
Přestože článek říká, že nevíme, kolik počítačů bylo infikováno nebo jak byly provedeny výše uvedené kroky, je třeba poznamenat, že většina programů typu „Backdoor“ se instaluje kliknutím na objekt. (odkaz, obrázek nebo spustitelný soubor), aniž by si uživatel uvědomil, že jde o hrozbu.
Sociální inženýrství, což je forma útoku, kterou používají trojské koně k tomu, aby přiměly oběti k instalaci softwarových balíčků, jako je HiddenWasp, do svých počítačů nebo mobilních zařízení, může být technikou, kterou tito útočníci používají k dosažení svých cílů.
Ve své strategii útěku a zastrašování používá sada bash skript doprovázený binárním souborem. Podle výzkumníků Intezer mají soubory stažené z Total Virus cestu, která obsahuje název forenzní společnosti se sídlem v Číně.
O HiddenWasp
Malware HiddenWasp se skládá ze tří nebezpečných komponent, jako je Rootkit, Trojan a škodlivý skript.
Následující systémy fungují jako součást hrozby.
- Manipulace s lokálním souborovým systémem: Nástroj lze použít k nahrávání všech druhů souborů na hostitele oběti nebo k únosu jakýchkoli uživatelských informací, včetně osobních a systémových informací. To je obzvláště znepokojivé, protože může být použito k trestným činům, jako jsou finanční krádeže a krádeže identity.
- Provedení příkazu: hlavní modul může automaticky spouštět všechny druhy příkazů, včetně příkazů s oprávněním root, pokud je takový bezpečnostní bypass zahrnut.
- Dodávka dalšího užitečného nákladu: Vytvořené infekce lze použít k instalaci a spuštění dalšího malwaru, včetně serverů ransomware a kryptoměn.
- Trojské operace: HiddenWasp Linux malware lze použít k převzetí kontroly nad postiženými počítači.
Navíc, malware by byl hostován na serverech fyzické serverové společnosti s názvem Think Dream se sídlem v Hongkongu.
„Linuxový malware, který pro ostatní platformy stále není znám, by mohl vytvořit nové výzvy pro bezpečnostní komunitu,“ napsal ve svém článku výzkumný pracovník Intezer Ignacio Sanmillan.
„Skutečnost, že se tomuto škodlivému programu podaří zůstat pod radarem, by měla být varovným signálem pro bezpečnostní průmysl, který by věnoval více úsilí nebo zdrojů na detekci těchto hrozeb,“ uvedl.
K věci se vyjádřili i další odborníci, Tom Hegel, bezpečnostní pracovník AT&T Alien Labs:
"Existuje mnoho neznámých, protože části této sady nástrojů mají určité překrývání kódu / opětovného použití s různými nástroji open source." Na základě velkého vzoru překrývání a návrhu infrastruktury však kromě jeho použití v cílech sebevědomě hodnotíme vztah s Winnti Umbrella. “
Tim Erlin, viceprezident, produktový management a strategie ve společnosti Tripwire:
"HiddenWasp není jedinečný ve své technologii, kromě cílení na Linux." Pokud ve svých systémech Linux sledujete kritické změny souborů nebo nové soubory nebo jiné podezřelé změny, je malware pravděpodobně označen jako HiddenWasp. “
Jak poznám, že je můj systém ohrožen?
Chcete-li zkontrolovat, zda je jejich systém infikován, mohou vyhledat soubory „ld.so“. Pokud některý ze souborů neobsahuje řetězec '/etc/ld.so.preload', může dojít k ohrožení vašeho systému.
Důvodem je, že implantát trojského koně se pokusí opravit instance ld.so, aby vynutil mechanismus LD_PRELOAD z libovolných umístění.
zdroj: https://www.intezer.com/