Μερικές μέρες πριν Ερευνητές ασφαλείας ανακάλυψαν ένα νέο στέλεχος κακόβουλου λογισμικού Linux που φαίνεται να έχει δημιουργηθεί από Κινέζους χάκερ και έχει χρησιμοποιηθεί ως μέσο για τον εξ αποστάσεως έλεγχο μολυσμένων συστημάτων.
Ονομάζεται HiddenWasp, Αυτό το κακόβουλο λογισμικό αποτελείται από ένα rootkit σε λειτουργία χρήστη, έναν Trojan και ένα αρχικό σενάριο ανάπτυξης.
Σε αντίθεση με άλλα κακόβουλα προγράμματα που εκτελούνται σε Linux, Ο κώδικας και τα συλλεχθέντα στοιχεία δείχνουν ότι οι μολυσμένοι υπολογιστές έχουν ήδη παραβιαστεί από τους ίδιους χάκερ.
Επομένως, η εκτέλεση του HiddenWasp θα ήταν ένα προχωρημένο στάδιο στην αλυσίδα της καταστροφής αυτής της απειλής.
Αν και το άρθρο λέει ότι δεν γνωρίζουμε πόσοι υπολογιστές μολύνθηκαν ή πώς εκτελέστηκαν τα παραπάνω βήματα, θα πρέπει να σημειωθεί ότι τα περισσότερα προγράμματα τύπου backdoor εγκαθίστανται κάνοντας κλικ σε ένα αντικείμενο. (σύνδεσμος, εικόνα ή εκτελέσιμο αρχείο), χωρίς ο χρήστης να καταλάβει ότι πρόκειται για απειλή.
Η κοινωνική μηχανική, η οποία είναι μια μορφή επίθεσης που χρησιμοποιείται από Trojans για να εξαπατήσουν τα θύματα να εγκαταστήσουν πακέτα λογισμικού όπως το HiddenWasp στους υπολογιστές ή τις κινητές συσκευές τους, θα μπορούσε να είναι η τεχνική που υιοθετούν αυτοί οι εισβολείς για να επιτύχουν τους στόχους τους.
Στη στρατηγική διαφυγής και αποτροπής, το κιτ χρησιμοποιεί ένα σενάριο bash που συνοδεύεται από ένα δυαδικό αρχείο. Σύμφωνα με ερευνητές της Intezer, τα αρχεία που λήφθηκαν από το Total Virus έχουν μια διαδρομή που περιέχει το όνομα μιας εγκληματολογικής εταιρείας που εδρεύει στην Κίνα.
Σχετικά με το HiddenWasp
Κακόβουλο λογισμικό Το HiddenWasp αποτελείται από τρία επικίνδυνα στοιχεία όπως το Rootkit, το Trojan και ένα κακόβουλο σενάριο.
Τα ακόλουθα συστήματα λειτουργούν ως μέρος της απειλής.
- Τοπικός χειρισμός του συστήματος αρχείων: Η μηχανή μπορεί να χρησιμοποιηθεί για τη μεταφόρτωση όλων των τύπων αρχείων σε οικοδεσπότες θυμάτων ή για την πειρατεία οποιωνδήποτε πληροφοριών χρήστη, συμπεριλαμβανομένων των πληροφοριών συστήματος και προσωπικών στοιχείων. Αυτό είναι ιδιαίτερα ανησυχητικό καθώς μπορεί να χρησιμοποιηθεί για να οδηγήσει σε εγκλήματα όπως η οικονομική κλοπή και η κλοπή ταυτότητας.
- Εκτέλεση εντολών: η κύρια μηχανή μπορεί να εκκινήσει αυτόματα όλα τα είδη εντολών, συμπεριλαμβανομένων εκείνων με δικαιώματα root, εάν περιλαμβάνεται μια τέτοια παράκαμψη ασφαλείας.
- Παράδοση πρόσθετου ωφέλιμου φορτίου: οι μολύνσεις που δημιουργούνται μπορούν να χρησιμοποιηθούν για την εγκατάσταση και την εκκίνηση άλλου κακόβουλου λογισμικού, συμπεριλαμβανομένων των διακομιστών ransomware και κρυπτονομισμάτων.
- Λειτουργίες Trojan: Το κακόβουλο λογισμικό HiddenWasp Linux μπορεί να χρησιμοποιηθεί για τον έλεγχο των επηρεαζόμενων υπολογιστών.
Επιπλέον, το κακόβουλο λογισμικό θα φιλοξενείται σε διακομιστές από μια εταιρεία φιλοξενίας φυσικών διακομιστών που ονομάζεται Think Dream που βρίσκεται στο Χονγκ Κονγκ.
«Το κακόβουλο λογισμικό Linux που είναι ακόμα άγνωστο σε άλλες πλατφόρμες θα μπορούσε να δημιουργήσει νέες προκλήσεις για την κοινότητα ασφαλείας», έγραψε στο άρθρο του ο ερευνητής της Intezer, Ignacio Sanmillan.
«Το γεγονός ότι αυτό το κακόβουλο πρόγραμμα καταφέρνει να μείνει κάτω από το ραντάρ θα πρέπει να είναι μια κόκκινη σημαία για τη βιομηχανία ασφάλειας για να αφιερώσει περισσότερη προσπάθεια ή πόρους για τον εντοπισμό αυτών των απειλών», είπε.
Άλλοι ειδικοί σχολίασαν επίσης το θέμα, Τομ Χέγκελ, ερευνητής ασφάλειας στην AT&T Alien Labs:
«Υπάρχουν πολλά άγνωστα, καθώς τα κομμάτια σε αυτήν την εργαλειοθήκη έχουν κάποιες επικαλύψεις/επαναχρησιμοποίηση κώδικα με διάφορα εργαλεία ανοιχτού κώδικα. Ωστόσο, με βάση ένα μεγάλο μοτίβο επικάλυψης και σχεδιασμό υποδομής, καθώς και τη χρήση του σε στόχους, αξιολογούμε τη σύνδεση με το Winnti Umbrella με υψηλή εμπιστοσύνη."
Tim Erlin, Αντιπρόεδρος, Διαχείριση Προϊόντων και Στρατηγικής στην Tripwire:
«Το HiddenWasp δεν είναι μοναδικό στην τεχνολογία του, εκτός από το ότι στοχεύει στο Linux. Εάν παρακολουθείτε τα συστήματά σας Linux για κρίσιμες αλλαγές αρχείων ή για την εμφάνιση νέων αρχείων ή για άλλες ύποπτες αλλαγές, το κακόβουλο λογισμικό είναι πιθανό να αναγνωριστεί ως HiddenWasp».
Πώς μπορώ να ξέρω ότι το σύστημά μου έχει παραβιαστεί;
Για να ελέγξουν εάν το σύστημά τους έχει μολυνθεί, μπορούν να αναζητήσουν αρχεία "ld.so". Εάν κάποιο από τα αρχεία δεν περιέχει τη συμβολοσειρά '/etc/ld.so.preload', το σύστημά σας ενδέχεται να παραβιαστεί.
Αυτό συμβαίνει επειδή το Trojan εμφύτευμα θα προσπαθήσει να διορθώσει παρουσίες ld.so για να επιβάλει τον μηχανισμό LD_PRELOAD από αυθαίρετες τοποθεσίες.
πηγή: https://www.intezer.com/