For noen dager siden Sikkerhetsforskere har oppdaget et nytt utvalg av Linux-skadelig programvare Det ser ut til å være opprettet av kinesiske hackere og har blitt brukt som et middel til å fjernstyre infiserte systemer.
Kalt HiddenWasp, Denne skadelige programvaren består av et rootkit for brukermodus, en Trojan og et første skript for distribusjon.
I motsetning til andre ondsinnede programmer som kjører på Linux, koden og det innsamlede beviset viser at de infiserte datamaskinene allerede har blitt kompromittert av de samme hackerne.
Utførelsen av HiddenWasp ville derfor være et avansert stadium i kjeden av ødeleggelse av denne trusselen.
Selv om artikkelen sier at vi ikke vet hvor mange datamaskiner som ble infisert, eller hvordan trinnene ovenfor ble utført, bør det bemerkes at de fleste "Backdoor" -programmer installeres ved å klikke på et objekt. (lenke, bilde eller kjørbar fil), uten at brukeren skjønner at det er en trussel.
Samfunnsingeniør, som er en form for angrep som brukes av trojanere for å lure ofre til å installere programvarepakker som HiddenWasp på datamaskiner eller mobile enheter, kan være teknikken som ble brukt av disse angriperne for å nå sine mål.
I sin rømnings- og avskrekkingsstrategi bruker settet et bash-skript ledsaget av en binær fil. I følge Intezer-forskere har filene som er lastet ned fra Total Virus en bane som inneholder navnet på et rettsmedisinsk samfunn basert i Kina.
Om HiddenWasp
Skadevare HiddenWasp består av tre farlige komponenter, for eksempel Rootkit, Trojan, og et ondsinnet skript.
Følgende systemer fungerer som en del av trusselen.
- Lokal filsystemmanipulering: Motoren kan brukes til å laste opp alle typer filer til offerets verter eller kapre brukerinformasjon, inkludert personlig informasjon og systeminformasjon. Dette er spesielt betenkelig da det kan brukes til å føre til forbrytelser som økonomisk tyveri og identitetstyveri.
- Kommandoutførelse: hovedmotoren kan automatisk starte alle slags kommandoer, inkludert de med rottillatelser, hvis en slik sikkerhetsomgåelse er inkludert.
- Ekstra levering av nyttelast: skapte infeksjoner kan brukes til å installere og lansere annen skadelig programvare, inkludert løsepenger og kryptovaluta-servere.
- Trojanske operasjoner: HiddenWasp Linux malware kan brukes til å ta kontroll over berørte datamaskiner.
Videre malware vil være vert på serverne til et fysisk serverfirma som heter Think Dream i Hong Kong.
"Linux-malware som fremdeles er ukjent for andre plattformer, kan skape nye utfordringer for sikkerhetssamfunnet," skrev Intezer-forsker Ignacio Sanmillan i sin artikkel.
"Det faktum at dette ondsinnede programmet klarer å holde seg under radaren, burde være et rødt flagg for sikkerhetsindustrien for å vie mer innsats eller ressurser for å oppdage disse truslene," sa han.
Andre eksperter kommenterte også saken, Tom Hegel, sikkerhetsforsker ved AT&T Alien Labs:
“Det er mange ukjente, da delene av dette verktøysettet har noen kode / gjenbruk overlappinger med forskjellige open source-verktøy. Imidlertid, basert på et stort mønster av overlapping og infrastrukturdesign, i tillegg til bruk i mål, vurderer vi med sikkerhet tilknytningen til Winnti Umbrella.
Tim Erlin, visepresident, produktledelse og strategi i Tripwire:
“HiddenWasp er ikke unik i sin teknologi, annet enn å målrette Linux. Hvis du overvåker Linux-systemene dine for kritiske filendringer, eller for at nye filer skal vises, eller for andre mistenkelige endringer, er skadelig programvare sannsynligvis identifisert som HiddenWasp. "
Hvordan vet jeg at systemet mitt er kompromittert?
For å sjekke om systemet deres er infisert, kan de se etter "ld.so" -filer. Hvis noen av filene ikke inneholder strengen '/etc/ld.so.preload', kan systemet være kompromittert.
Dette er fordi Trojan-implantatet vil prøve å lappe ld.so-tilfeller for å håndheve LD_PRELOAD-mekanismen fra vilkårlige steder.
Fuente: https://www.intezer.com/