何日か前に セキュリティ研究者は、新しい種類のLinuxマルウェアを発見しました これは中国のハッカーによって作成されたようで、感染したシステムをリモート制御する手段として使用されてきました。
HiddenWaspと呼ばれ、 このマルウェアは、ユーザーモードのルートキット、トロイの木馬、および初期展開スクリプトで構成されています。
Linuxで実行される他の悪意のあるプログラムとは異なり、 コードと収集された証拠は、感染したコンピューターがこれらの同じハッカーによってすでに侵害されていることを示しています。
したがって、HiddenWaspの実行は、この脅威の破壊の連鎖における高度な段階になります。
感染したコンピュータの数や上記の手順がどのように実行されたかはわかりませんが、ほとんどの「バックドア」タイプのプログラムはオブジェクトをクリックしてインストールされることに注意してください。 (リンク、画像、または実行可能ファイル)、ユーザーが脅威であることに気付くことなく。
ソーシャルエンジニアリングは、トロイの木馬が被害者をだましてコンピュータやモバイルデバイスにHiddenWaspなどのソフトウェアパッケージをインストールさせるために使用する攻撃の一種であり、これらの攻撃者が目標を達成するために採用する手法である可能性があります。
脱出と抑止の戦略では、キットはバイナリファイルを伴うbashスクリプトを使用します。 Intezerの研究者によると、Total Virusからダウンロードされたファイルには、中国に拠点を置く法医学協会の名前を含むパスがあります。
HiddenWaspについて
マルウェア HiddenWaspは、ルートキット、トロイの木馬、悪意のあるスクリプトなど、XNUMXつの危険なコンポーネントで構成されています。
次のシステムが脅威の一部として機能しています。
- ローカルファイルシステムの操作: このエンジンを使用して、あらゆる種類のファイルを被害者のホストにアップロードしたり、個人情報やシステム情報などのユーザー情報を乗っ取ったりすることができます。 これは、金銭の盗難や個人情報の盗難などの犯罪につながる可能性があるため、特に懸念されます。
- コマンドの実行: このようなセキュリティバイパスが含まれている場合、メインエンジンは、root権限を持つコマンドを含むすべての種類のコマンドを自動的に開始できます。
- 追加のペイロード配信: 作成された感染は、ランサムウェアや暗号通貨サーバーなどの他のマルウェアをインストールして起動するために使用できます。
- トロイの木馬の操作: HiddenWasp Linuxマルウェアは、影響を受けるコンピューターを制御するために使用できます。
さらに、 マルウェアは、香港にあるThinkDreamと呼ばれる物理サーバーホスティング会社のサーバーでホストされます。
「他のプラットフォームではまだ知られていないLinuxマルウェアは、セキュリティコミュニティに新たな課題をもたらす可能性があります」と、Intezerの研究者であるIgnacioSanmillanは彼の記事に書いています。
「この悪意のあるプログラムがなんとかレーダーの下にとどまることができるという事実は、セキュリティ業界がこれらの脅威を検出するためにより多くの努力またはリソースを捧げるための危険信号であるはずです」と彼は言いました。
他の専門家もこの問題についてコメントしました、 AT&T AlienLabsのセキュリティ研究者であるTomHegel:
「このツールキットの一部には、さまざまなオープンソースツールとのコード/再利用の重複があるため、不明な点がたくさんあります。 ただし、ターゲットでの使用に加えて、オーバーラップとインフラストラクチャ設計の大きなパターンに基づいて、WinntiUmbrellaとの関連を自信を持って評価します。
Tripwireの製品管理および戦略担当副社長であるTimErlin:
「HiddenWaspは、Linuxをターゲットにしていることを除けば、そのテクノロジーにおいてユニークではありません。 Linuxシステムで重要なファイルの変更、新しいファイルの表示、またはその他の疑わしい変更を監視している場合、マルウェアはHiddenWaspとして識別される可能性があります。」
システムが危険にさらされていることをどのように知ることができますか?
システムが感染しているかどうかを確認するために、「ld.so」ファイルを探すことができます。 ファイルのいずれかに文字列 '/etc/ld.so.preload'が含まれていない場合、システムが危険にさらされている可能性があります。
これは、トロイの木馬の埋め込みがld.soインスタンスにパッチを適用して、任意の場所からLD_PRELOADメカニズムを適用しようとするためです。