Beberapa hari yang lalu Peneliti keamanan telah menemukan variasi baru malware Linux Tampaknya telah dibuat oleh peretas China dan telah digunakan sebagai sarana untuk mengontrol sistem yang terinfeksi dari jarak jauh.
Disebut HiddenWasp, Malware ini terdiri dari rootkit mode pengguna, Trojan, dan skrip penerapan awal.
Tidak seperti program jahat lainnya yang berjalan di Linux, kode dan bukti yang dikumpulkan menunjukkan bahwa komputer yang terinfeksi telah disusupi oleh peretas yang sama ini.
Eksekusi HiddenWasp akan menjadi tahap lanjutan dalam rantai penghancuran ancaman ini.
Meskipun artikel mengatakan bahwa kita tidak tahu berapa banyak komputer yang terinfeksi atau bagaimana langkah-langkah di atas dilakukan, perlu dicatat bahwa kebanyakan program tipe "Backdoor" diinstal dengan mengklik sebuah objek. (tautan, gambar, atau file yang dapat dijalankan), tanpa pengguna menyadari bahwa itu adalah ancaman.
Rekayasa sosial, yang merupakan bentuk serangan yang digunakan oleh Trojan untuk mengelabui korban agar menginstal paket perangkat lunak seperti HiddenWasp di komputer atau perangkat seluler mereka, dapat menjadi teknik yang diadopsi oleh penyerang ini untuk mencapai tujuan mereka.
Dalam strategi pelarian dan pencegahannya, kit menggunakan skrip bash yang disertai dengan file biner. Menurut peneliti Intezer, file yang diunduh dari Total Virus memiliki jalur yang berisi nama masyarakat forensik yang berbasis di China.
Tentang HiddenWasp
Malware HiddenWasp terdiri dari tiga komponen berbahaya, seperti Rootkit, Trojan, dan skrip berbahaya.
Sistem berikut bekerja sebagai bagian dari ancaman.
- Manipulasi sistem file lokal: Mesin tersebut dapat digunakan untuk mengunggah semua jenis file ke host korban atau membajak informasi pengguna apa pun, termasuk informasi pribadi dan sistem. Hal ini sangat memprihatinkan karena dapat digunakan untuk mengarah pada kejahatan seperti pencurian keuangan dan pencurian identitas.
- Eksekusi perintah: mesin utama dapat secara otomatis memulai semua jenis perintah, termasuk yang memiliki izin root, jika pintasan keamanan tersebut disertakan.
- Pengiriman muatan tambahan: infeksi yang dibuat dapat digunakan untuk menginstal dan meluncurkan malware lain, termasuk ransomware dan server cryptocurrency.
- Operasi Trojan: Malware HiddenWasp Linux dapat digunakan untuk mengendalikan komputer yang terpengaruh.
Selain itu, malware akan dihosting di server perusahaan hosting server fisik bernama Think Dream yang berlokasi di Hong Kong.
"Malware Linux yang masih belum dikenal oleh platform lain dapat menciptakan tantangan baru bagi komunitas keamanan," tulis peneliti Intezer Ignacio Sanmillan dalam artikelnya.
"Fakta bahwa program jahat ini berhasil tetap di bawah radar harus menjadi bendera merah bagi industri keamanan untuk mendedikasikan lebih banyak upaya atau sumber daya untuk mendeteksi ancaman ini," katanya.
Pakar lain juga mengomentari masalah tersebut, Tom Hegel, peneliti keamanan di AT&T Alien Labs:
“Ada banyak yang tidak diketahui, karena bagian dari toolkit ini memiliki beberapa kode / penggunaan ulang yang tumpang tindih dengan berbagai alat open source. Namun, berdasarkan pola tumpang tindih dan desain infrastruktur yang besar, selain penggunaannya dalam target, kami dengan yakin mengevaluasi hubungannya dengan Winnti Umbrella.
Tim Erlin, Wakil Presiden, Manajemen Produk dan Strategi di Tripwire:
“HiddenWasp tidak unik dalam teknologinya, selain menargetkan Linux. Jika Anda memantau sistem Linux Anda untuk melihat perubahan file penting, atau file baru muncul, atau untuk perubahan mencurigakan lainnya, malware kemungkinan besar diidentifikasi sebagai HiddenWasp ”
Bagaimana saya tahu sistem saya disusupi?
Untuk memeriksa apakah sistem mereka terinfeksi, mereka dapat mencari file "ld.so". Jika salah satu file tidak berisi string '/etc/ld.so.preload', sistem Anda mungkin sedang dalam bahaya.
Ini karena implan Trojan akan mencoba menambal contoh ld.so untuk menerapkan mekanisme LD_PRELOAD dari lokasi yang sewenang-wenang.
sumber: https://www.intezer.com/