Kilka dni temu Badacze bezpieczeństwa odkryli nową odmianę złośliwego oprogramowania dla systemu Linux Wygląda na to, że został stworzony przez chińskich hakerów i był używany jako środek do zdalnej kontroli zainfekowanych systemów.
Nazywa się HiddenWasp, To złośliwe oprogramowanie składa się z rootkita działającego w trybie użytkownika, trojana i skryptu początkowej instalacji.
W przeciwieństwie do innych złośliwych programów działających w systemie Linux, kod i zebrane dowody wskazują, że zainfekowane komputery zostały już przejęte przez tych samych hakerów.
Realizacja HiddenWasp byłaby zatem zaawansowanym etapem w łańcuchu niszczenia tego zagrożenia.
Chociaż artykuł mówi, że nie wiemy, ile komputerów zostało zainfekowanych ani jak wykonano powyższe kroki, należy zauważyć, że większość programów typu „Backdoor” jest instalowana przez kliknięcie obiektu. (link, obraz lub plik wykonywalny), bez świadomości użytkownika, że jest to zagrożenie.
Inżynieria społeczna, która jest formą ataku używanego przez trojany w celu nakłonienia ofiar do zainstalowania pakietów oprogramowania, takich jak HiddenWasp na ich komputerach lub urządzeniach mobilnych, może być techniką przyjętą przez tych atakujących, aby osiągnąć swoje cele.
W swojej strategii ucieczki i odstraszania zestaw wykorzystuje skrypt bash, któremu towarzyszy plik binarny. Według naukowców Intezer, pliki pobrane z Total Virus mają ścieżkę, która zawiera nazwę stowarzyszenia kryminalistycznego z siedzibą w Chinach.
O HiddenWasp
Złośliwe oprogramowanie HiddenWasp składa się z trzech niebezpiecznych komponentów, takich jak Rootkit, Trojan i złośliwy skrypt.
W ramach zagrożenia działają następujące systemy.
- Manipulowanie lokalnym systemem plików: Silnik może być używany do przesyłania wszelkiego rodzaju plików na hosty ofiary lub przechwytywania dowolnych informacji o użytkowniku, w tym danych osobowych i systemowych. Jest to szczególnie niepokojące, ponieważ może być wykorzystywane do prowadzenia przestępstw, takich jak kradzież finansowa i kradzież tożsamości.
- Wykonanie polecenia: główny silnik może automatycznie uruchamiać wszelkiego rodzaju polecenia, w tym te z uprawnieniami administratora, jeśli takie obejście bezpieczeństwa jest włączone.
- Dodatkowa dostawa ładunku: utworzone infekcje mogą być używane do instalowania i uruchamiania innego złośliwego oprogramowania, w tym oprogramowania ransomware i serwerów kryptowalut.
- Operacje trojańskie: Do przejęcia kontroli nad komputerami, których dotyczy problem, można użyć złośliwego oprogramowania HiddenWasp dla systemu Linux.
Ponadto, szkodliwe oprogramowanie byłoby hostowane na serwerach firmy hostingowej serwerów fizycznych o nazwie Think Dream zlokalizowanej w Hongkongu.
„Szkodliwe oprogramowanie dla systemu Linux, wciąż nieznane na innych platformach, może stworzyć nowe wyzwania dla społeczności zajmującej się bezpieczeństwem” - napisał w swoim artykule badacz Intezer Ignacio Sanmillan
„Fakt, że temu złośliwemu programowi udaje się pozostać poza zasięgiem radaru, powinien stanowić sygnał ostrzegawczy dla branży bezpieczeństwa, która musi poświęcić więcej wysiłku lub zasobów na wykrycie tych zagrożeń” - powiedział.
Inni eksperci również wypowiadali się w tej sprawie, Tom Hegel, badacz bezpieczeństwa w AT&T Alien Labs:
„Jest wiele niewiadomych, ponieważ elementy w tym zestawie narzędzi pokrywają się w pewnym stopniu z kodem / możliwością ponownego wykorzystania z różnymi narzędziami open source. Jednak opierając się na dużym schemacie zachodzenia na siebie i projektowaniu infrastruktury, oprócz wykorzystania jej w celach, z pewnością oceniamy powiązanie z Winnti Umbrella ”.
Tim Erlin, wiceprezes ds. Zarządzania produktami i strategii w Tripwire:
„HiddenWasp nie jest wyjątkowy w swojej technologii, poza ukierunkowaniem na Linuksa. Jeśli monitorujesz systemy Linux pod kątem krytycznych zmian plików lub pojawienia się nowych plików lub innych podejrzanych zmian, złośliwe oprogramowanie jest prawdopodobnie identyfikowane jako HiddenWasp ”
Skąd mam wiedzieć, że mój system jest zagrożony?
Aby sprawdzić, czy ich system jest zainfekowany, mogą poszukać plików „ld.so”. Jeśli którykolwiek z plików nie zawiera ciągu „/etc/ld.so.preload”, system może być zagrożony.
Dzieje się tak, ponieważ implant trojana będzie próbował załatać instancje ld.so, aby wymusić działanie mechanizmu LD_PRELOAD z dowolnych lokalizacji.
źródło: https://www.intezer.com/