HiddenWasp: вредоносное ПО, поражающее системы Linux.

Скрытая Оса

Несколько дней тому назад Исследователи безопасности обнаружили новую разновидность вредоносного ПО для Linux Похоже, что он был создан китайскими хакерами и использовался как средство для удаленного управления зараженными системами.

Называется HiddenWasp, Эта вредоносная программа состоит из руткита пользовательского режима, трояна и сценария первоначального развертывания.

В отличие от других вредоносных программ, работающих в Linux, код и собранные доказательства показывают, что зараженные компьютеры уже были взломаны этими же хакерами.

Таким образом, выполнение HiddenWasp будет продвинутым этапом в цепочке уничтожения этой угрозы.

Хотя в статье говорится, что мы не знаем, сколько компьютеров было заражено и как были выполнены указанные выше действия, следует отметить, что большинство программ типа «Backdoor» устанавливаются при нажатии на объект. (ссылка, изображение или исполняемый файл), при этом пользователь не осознает, что это угроза.

Социальная инженерия, которая является формой атаки, используемой троянами для обмана жертв при установке программных пакетов, таких как HiddenWasp, на их компьютеры или мобильные устройства, может быть методом, принятым этими злоумышленниками для достижения своих целей.

В своей стратегии побега и сдерживания комплект использует сценарий bash, сопровождаемый двоичным файлом. По словам исследователей Intezer, файлы, загружаемые с Total Virus, имеют путь, содержащий название судебно-медицинской экспертизы, базирующейся в Китае.

О HiddenWasp

Вредоносное ПО HiddenWasp состоит из трех опасных компонентов, таких как руткит, троян и вредоносный скрипт.

Следующие системы работают как часть угрозы.

  • Манипуляции с локальной файловой системой: Движок можно использовать для загрузки всех типов файлов на хосты жертвы или для перехвата любой пользовательской информации, включая личную и системную информацию. Это вызывает особую озабоченность, поскольку может быть использовано для совершения таких преступлений, как кража финансовых средств и личных данных.
  • Выполнение команды: основной механизм может автоматически запускать все виды команд, в том числе с правами суперпользователя, если такой обход безопасности включен.
  • Доставка дополнительной полезной нагрузки: Созданные инфекции могут быть использованы для установки и запуска других вредоносных программ, в том числе программ-вымогателей и серверов криптовалюты.
  • Троянские операции: Вредоносное ПО HiddenWasp Linux можно использовать для получения контроля над зараженными компьютерами.

Кроме того, вредоносное ПО будет размещаться на серверах компании Think Dream, занимающейся хостингом физических серверов, расположенной в Гонконге.

«Вредоносные программы для Linux, еще неизвестные другим платформам, могут создать новые проблемы для сообщества специалистов по безопасности», - написал в своей статье исследователь Intezer Игнасио Санмиллан.

«Тот факт, что этой вредоносной программе удается оставаться незамеченной, должен быть красным флагом для индустрии безопасности, чтобы направить больше усилий или ресурсов на обнаружение этих угроз», - сказал он.

Другие эксперты также прокомментировали этот вопрос: Том Хегель, исследователь безопасности в AT&T Alien Labs:

«Есть много неизвестного, поскольку части этого инструментария имеют некоторый код / ​​возможность повторного использования, частично совпадающий с различными инструментами с открытым исходным кодом. Однако, основываясь на широком шаблоне перекрытия и проектирования инфраструктуры, в дополнение к его использованию в целях, мы уверенно оцениваем связь с Winnti Umbrella ».

Тим Эрлин, вице-президент по управлению продуктами и стратегии Tripwire:

«HiddenWasp не уникален в своей технологии, кроме как нацеленной на Linux. Если вы отслеживаете свои системы Linux на предмет критических изменений файлов, появления новых файлов или других подозрительных изменений, вредоносная программа, скорее всего, будет идентифицирована как HiddenWasp »

Как я узнаю, что моя система взломана?

Чтобы проверить, не заражена ли их система, они могут поискать файлы «ld.so». Если какой-либо из файлов не содержит строки '/etc/ld.so.preload', ваша система может быть скомпрометирована.

Это связано с тем, что троянский имплант будет пытаться исправить экземпляры ld.so, чтобы задействовать механизм LD_PRELOAD из произвольных мест.

источник: https://www.intezer.com/


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.