HiddenWasp: een malware die Linux-systemen aantast

Darkcrizt

4 minuten

Verborgen Wesp

Een paar dagen geleden Beveiligingsonderzoekers hebben een nieuwe variëteit aan Linux-malware ontdekt Het lijkt te zijn gemaakt door Chinese hackers en is gebruikt als middel om geïnfecteerde systemen op afstand te besturen.

HiddenWasp genoemd, Deze malware bestaat uit een rootkit in gebruikersmodus, een Trojaans paard en een eerste implementatiescript.

In tegenstelling tot andere kwaadaardige programma's die op Linux draaien, de code en het verzamelde bewijsmateriaal tonen aan dat de geïnfecteerde computers al zijn gecompromitteerd door dezelfde hackers.

De executie van HiddenWasp zou daarom een ​​vergevorderd stadium zijn in de vernietigingsketen van deze dreiging.

Hoewel het artikel zegt dat we niet weten hoeveel computers zijn geïnfecteerd of hoe de bovenstaande stappen zijn uitgevoerd, moet worden opgemerkt dat de meeste programma's van het type "Backdoor" worden geïnstalleerd door op een object te klikken. (link, afbeelding of uitvoerbaar bestand), zonder dat de gebruiker zich realiseert dat het een bedreiging is.

Social engineering, een vorm van aanval die door Trojaanse paarden wordt gebruikt om slachtoffers te misleiden om softwarepakketten zoals HiddenWasp op hun computers of mobiele apparaten te installeren, zou de techniek kunnen zijn die deze aanvallers gebruiken om hun doelen te bereiken.

In zijn ontsnappings- en afschrikstrategie gebruikt de kit een bash-script vergezeld van een binair bestand. Volgens Intezer-onderzoekers hebben de bestanden die zijn gedownload van Total Virus een pad dat de naam bevat van een forensische samenleving in China.

Over HiddenWasp

Malware HiddenWasp bestaat uit drie gevaarlijke componenten, zoals Rootkit, Trojan en een kwaadaardig script.

De volgende systemen werken als onderdeel van de dreiging.

  • Manipulatie van het lokale bestandssysteem: De engine kan worden gebruikt om allerlei soorten bestanden naar de hosts van het slachtoffer te uploaden of om gebruikersinformatie te kapen, inclusief persoonlijke en systeeminformatie. Dit is vooral zorgwekkend omdat het kan worden gebruikt om te leiden tot misdrijven zoals financiële diefstal en identiteitsdiefstal.
  • Opdrachtuitvoering: de hoofdmotor kan automatisch allerlei soorten commando's starten, inclusief die met rootrechten, als zo'n beveiligingsomleiding is opgenomen.
  • Extra nuttige lading: gemaakte infecties kunnen worden gebruikt om andere malware te installeren en te starten, inclusief ransomware en cryptocurrency-servers.
  • Trojaanse operaties: HiddenWasp Linux-malware kan worden gebruikt om de controle over de getroffen computers over te nemen.

Bovendien heeft de malware zou worden gehost op de servers van een fysiek serverhostingbedrijf genaamd Think Dream in Hong Kong.

"Linux-malware die nog niet bekend is bij andere platforms, zou nieuwe uitdagingen kunnen creëren voor de beveiligingsgemeenschap", schreef Intezer-onderzoeker Ignacio Sanmillan in zijn artikel

"Het feit dat dit kwaadaardige programma erin slaagt om onder de radar te blijven, zou een rode vlag moeten zijn voor de beveiligingsindustrie om meer inspanningen of middelen te besteden om deze bedreigingen op te sporen", zei hij.

Andere experts gaven ook commentaar op de kwestie, Tom Hegel, beveiligingsonderzoeker bij AT&T Alien Labs:

“Er zijn veel onbekenden, aangezien de onderdelen van deze toolkit enige overlappingen hebben met code / hergebruik met verschillende open source-tools. Op basis van een groot patroon van overlap en infrastructuurontwerp, naast het gebruik ervan in doelen, evalueren we de associatie met Winnti Umbrella echter vol vertrouwen. '

Tim Erlin, Vice President, Product Management and Strategy bij Tripwire:

“HiddenWasp is niet uniek in zijn technologie, behalve dat het zich op Linux richt. Als u uw Linux-systemen controleert op kritieke bestandswijzigingen, of nieuwe bestanden verschijnen, of op andere verdachte wijzigingen, wordt de malware waarschijnlijk geïdentificeerd als HiddenWasp "

Hoe weet ik of mijn systeem gecompromitteerd is?

Om te controleren of hun systeem is geïnfecteerd, kunnen ze zoeken naar "ld.so" -bestanden. Als een van de bestanden de tekenreeks '/etc/ld.so.preload' niet bevat, is uw systeem mogelijk gecompromitteerd.

Dit komt doordat het Trojaanse implantaat zal proberen instanties van ld.so te patchen om het LD_PRELOAD-mechanisme vanaf willekeurige locaties af te dwingen.

bron: https://www.intezer.com/


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.