For nogle dage siden Sikkerhedsforskere har opdaget en ny stamme af Linux-malware som ser ud til at være skabt af kinesiske hackere og er blevet brugt som et middel til at fjernstyre inficerede systemer.
Kaldet HiddenWasp, Denne malware består af et rootkit i brugertilstand, en trojaner og et indledende implementeringsscript.
I modsætning til anden malware, der kører på Linux, koden og de indsamlede beviser viser, at de inficerede computere allerede er blevet kompromitteret af de samme hackere.
Henrettelsen af HiddenWasp ville derfor være et fremskredent trin i kæden af ødelæggelse af denne trussel.
Selvom artiklen siger, at vi ikke ved, hvor mange computere der blev inficeret, eller hvordan ovenstående trin blev udført, skal det bemærkes, at de fleste programmer af bagdørstypen installeres ved at klikke på et objekt. (link, billede eller eksekverbar fil), uden at brugeren er klar over, at det er en trussel.
Social engineering, som er en form for angreb brugt af trojanske heste til at narre ofre til at installere softwarepakker som HiddenWasp på deres computere eller mobile enheder, kunne være den teknik, som disse angribere anvender for at nå deres mål.
I sin flugt- og afskrækkelsesstrategi bruger sættet et bash-script ledsaget af en binær fil. Ifølge Intezer-forskere har filerne, der er downloadet fra Total Virus, en sti, der indeholder navnet på et Kina-baseret retsmedicinsk samfund.
Om HiddenWasp
malware HiddenWasp består af tre farlige komponenter såsom Rootkit, Trojan og et ondsindet script.
Følgende systemer fungerer som en del af truslen.
- Lokal manipulation af filsystemet: Motoren kan bruges til at uploade alle typer filer til offerværter eller kapre enhver brugerinformation, inklusive system- og personlige oplysninger. Dette er særligt bekymrende, da det kan bruges til at føre til forbrydelser som økonomisk tyveri og identitetstyveri.
- Kommandoudførelse: hovedmotoren kan automatisk starte alle slags kommandoer, inklusive dem med root-tilladelser, hvis en sådan sikkerhedsbypass er inkluderet.
- Ekstra levering af nyttelast: de oprettede infektioner kan bruges til at installere og starte anden malware, herunder ransomware og cryptocurrency-servere.
- Trojanske operationer: HiddenWasp Linux malware kan bruges til at tage kontrol over berørte computere.
Derudover malwaren ville blive hostet på servere af et fysisk server-hostingfirma kaldet Think Dream, der ligger i Hong Kong.
"Linux-malware, der stadig er ukendt for andre platforme, kan skabe nye udfordringer for sikkerhedssamfundet," skrev Intezer-forsker Ignacio Sanmillan i sin artikel.
"Det faktum, at dette ondsindede program formår at forblive under radaren, burde være et rødt flag for sikkerhedsindustrien til at bruge flere kræfter eller ressourcer på at opdage disse trusler," sagde han.
Andre eksperter kommenterede også sagen, Tom Hegel, sikkerhedsforsker ved AT&T Alien Labs:
"Der er mange ubekendte, da stykkerne i dette værktøjssæt har nogle kodeoverlapninger/genbrug med forskellige open source-værktøjer. Men baseret på et stort overlapningsmønster og infrastrukturdesign, såvel som dets anvendelse i mål, vurderer vi tilknytningen til Winnti Umbrella med høj tillid."
Tim Erlin, Vice President, Product Management and Strategy hos Tripwire:
"HiddenWasp er ikke enestående i sin teknologi, bortset fra at være målrettet mod Linux. Hvis du overvåger dine Linux-systemer for kritiske filændringer, eller for nye filer, der dukker op, eller for andre mistænkelige ændringer, vil malwaren sandsynligvis blive identificeret som HiddenWasp"
Hvordan ved jeg, at mit system er kompromitteret?
For at kontrollere, om deres system er inficeret, kan de se efter "ld.so" -filer. Hvis nogen af filerne ikke indeholder strengen '/etc/ld.so.preload', kan dit system være kompromitteret.
Dette skyldes, at Trojan-implantatet vil forsøge at lappe forekomster af ld.so for at håndhæve LD_PRELOAD-mekanismen fra vilkårlige placeringer.
kilde: https://www.intezer.com/