Prije nekoliko dana Istraživači sigurnosti otkrili su novu raznolikost zlonamjernog softvera Linux Čini se da su ga stvorili kineski hakeri i koristio se kao sredstvo za daljinsko upravljanje zaraženim sustavima.
Nazvan HiddenWasp, Ovaj se zlonamjerni softver sastoji od rootkita u korisničkom načinu rada, trojanskog programa i početne skripte za implementaciju.
Za razliku od ostalih zlonamjernih programa koji se izvode na Linuxu, kôd i prikupljeni dokazi pokazuju da su zaražena računala već kompromitirali isti ti hakeri.
Izvršenje HiddenWaspa stoga bi bilo napredna faza u lancu uništavanja ove prijetnje.
Iako se u članku kaže da ne znamo koliko je računala zaraženo niti kako su izvedeni gornji koraci, valja napomenuti da se većina programa tipa "Backdoor" instalira klikom na objekt. (veza, slika ili izvršna datoteka), a da korisnik nije shvatio da je to prijetnja.
Socijalni inženjering, oblik napada koji trojanski korisnici koriste kako bi prevarili žrtve da instaliraju softverske pakete poput HiddenWasp na njihova računala ili mobilne uređaje, mogla bi biti tehnika koju su ovi napadači usvojili za postizanje svojih ciljeva.
U svojoj strategiji bijega i odvraćanja, kit koristi bash skriptu popraćenu binarnom datotekom. Prema istraživačima Intezera, datoteke preuzete s Total Virusa imaju put koji sadrži ime forenzičkog društva sa sjedištem u Kini.
O HiddenWaspu
Zlonamjerni softver HiddenWasp sastoji se od tri opasne komponente, poput Rootkita, Trojanca i zlonamjerne skripte.
Sljedeći sustavi rade kao dio prijetnje.
- Manipulacija lokalnim datotečnim sustavom: Stroj se može koristiti za prijenos svih vrsta datoteka na žrtvine hostove ili otmicu bilo kojih korisničkih podataka, uključujući osobne i sistemske podatke. To je posebno zabrinjavajuće jer se može koristiti za vođenje kaznenih djela poput financijske krađe i krađe identiteta.
- Izvršenje naredbe: glavni mehanizam može automatski pokrenuti sve vrste naredbi, uključujući one s root dopuštenjima, ako je uključena takva sigurnosna zaobilaznica.
- Dostava dodatnog tereta: stvorene infekcije mogu se koristiti za instaliranje i pokretanje drugog zlonamjernog softvera, uključujući ransomware i poslužitelje kriptovaluta.
- Trojanske operacije: Zlonamjerni softver HiddenWasp Linux može se koristiti za preuzimanje kontrole nad pogođenim računalima.
Osim toga, zlonamjerni softver bio bi hostiran na poslužiteljima fizičke tvrtke za hosting poslužitelja pod nazivom Think Dream koja se nalazi u Hong Kongu.
"Zlonamjerni softver Linuxa još uvijek nepoznat drugim platformama mogao bi stvoriti nove izazove sigurnosnoj zajednici", napisao je istraživač Intezera Ignacio Sanmillan u svom članku
"Činjenica da ovaj zlonamjerni program uspijeva ostati ispod radara trebala bi biti crvena zastava za sigurnosnu industriju da posveti više napora ili resursa za otkrivanje tih prijetnji", rekao je.
Ostali stručnjaci također su komentirali stvar, Tom Hegel, istraživač sigurnosti u AT&T Alien Labs:
„Mnogo je nepoznanica, jer dijelovi ovog alata imaju preklapanja kodova / ponovne upotrebe s raznim alatima otvorenog koda. Međutim, na temelju velikog uzorka preklapanja i dizajna infrastrukture, uz njegovu upotrebu u ciljevima, pouzdano procjenjujemo povezanost s Winnti Umbrelom.
Tim Erlin, potpredsjednik, upravljanje proizvodima i strategija u Tripwireu:
“HiddenWasp nije jedinstven u svojoj tehnologiji, osim što cilja Linux. Ako nadgledate svoje Linux sustave radi kritičnih promjena datoteka, pojave novih datoteka ili drugih sumnjivih promjena, zlonamjerni softver vjerojatno će se identificirati kao HiddenWasp ”
Kako mogu znati da je moj sustav ugrožen?
Da bi provjerili je li njihov sustav zaražen, mogu potražiti datoteke "ld.so". Ako bilo koja datoteka ne sadrži niz '/etc/ld.so.preload', vaš sustav može biti ugrožen.
To je zato što će trojanski implantat pokušati zakrpati instance ld.so kako bi nametnuo mehanizam LD_PRELOAD s proizvoljnih mjesta.
izvor: https://www.intezer.com/