Pred niekoľkými dňami Vedci v oblasti bezpečnosti objavili novú škálu linuxového škodlivého softvéru Zdá sa, že boli vytvorené čínskymi hackermi a boli použité ako prostriedok na diaľkové ovládanie infikovaných systémov.
Volal sa HiddenWasp, Tento malware sa skladá z rootkitu používateľského režimu, trójskeho koňa a skriptu počiatočného nasadenia.
Na rozdiel od iných škodlivých programov, ktoré bežia na systéme Linux, kód a zhromaždené dôkazy ukazujú, že infikovaní počítače už boli napadnuté rovnakými hackermi.
Poprava programu HiddenWasp by teda bola pokročilým štádiom reťazca zničenia tejto hrozby.
Aj keď článok hovorí, že nevieme, koľko počítačov bolo infikovaných alebo ako boli vykonané vyššie uvedené kroky, treba poznamenať, že väčšina programov typu „Backdoor“ sa inštaluje kliknutím na objekt. (odkaz, obrázok alebo spustiteľný súbor) bez toho, aby si užívateľ uvedomil, že ide o hrozbu.
Sociálne inžinierstvo, čo je forma útoku, ktorú trójske kone používajú na nalákanie obetí na inštaláciu softvérových balíkov ako HiddenWasp na svoje počítače alebo mobilné zariadenia, by mohla byť technikou, ktorú si títo útočníci zvolia na dosiahnutie svojich cieľov.
Vo svojej únikovej a odstrašujúcej stratégii používa súprava bash skript doplnený binárnym súborom. Podľa výskumníkov Intezer majú súbory stiahnuté z Total Virus cestu, ktorá obsahuje názov forenznej spoločnosti so sídlom v Číne.
O spoločnosti HiddenWasp
malware HiddenWasp sa skladá z troch nebezpečných komponentov, ako sú Rootkit, Trojan a škodlivý skript.
Nasledujúce systémy fungujú ako súčasť ohrozenia.
- Manipulácia s lokálnym súborovým systémom: Tento motor je možné použiť na načítanie všetkých druhov súborov na hostiteľa obete alebo na únos akýchkoľvek informácií o používateľoch, vrátane osobných a systémových informácií. Toto je obzvlášť znepokojujúce, pretože sa ním môžu viesť k trestným činom, ako sú finančné krádeže a krádeže identity.
- Vykonanie príkazu: hlavný modul môže automaticky spustiť všetky druhy príkazov, vrátane príkazov s oprávneniami root, ak je k dispozícii také obchádzanie zabezpečenia.
- Dodatočné dodanie užitočného zaťaženia: Vytvorené infekcie je možné použiť na inštaláciu a spustenie ďalšieho škodlivého softvéru vrátane serverov ransomware a kryptomeny.
- Trójske kone: Malvér HiddenWasp Linux je možné použiť na získanie kontroly nad napadnutými počítačmi.
Okrem toho, malware by bol hostený na serveroch fyzickej serverovej spoločnosti s názvom Think Dream so sídlom v Hong Kongu.
„Linuxový malware, ktorý pre iné platformy ešte nie je známy, môže pre bezpečnostnú komunitu spôsobiť nové výzvy,“ napísal vo svojom článku výskumník Intezer Ignacio Sanmillan.
„Skutočnosť, že tento škodlivý program dokáže zostať pod radarom, by mala byť červenou značkou pre bezpečnostný priemysel, aby venoval viac úsilia alebo zdrojov na detekciu týchto hrozieb,“ uviedol.
K záležitosti sa vyjadrili aj ďalší odborníci, Tom Hegel, bezpečnostný výskumník v AT&T Alien Labs:
„Existuje veľa neznámych, pretože časti tejto súpravy nástrojov majú určité prekrývanie kódu / opätovnej použiteľnosti s rôznymi nástrojmi otvoreného zdroja. Avšak na základe rozsiahleho vzoru prekrývania a návrhu infraštruktúry okrem jej použitia v cieľoch sebavedome hodnotíme spoluprácu s Winnti Umbrella. “
Tim Erlin, viceprezident pre produktový manažment a stratégiu v spoločnosti Tripwire:
„HiddenWasp nie je jedinečný svojou technológiou, okrem toho, že je zameraný na Linux. Ak vo svojich systémoch Linux sledujete kritické zmeny súborov alebo objavenie nových súborov alebo ďalšie podozrivé zmeny, je malware pravdepodobne označený ako HiddenWasp. “
Ako zistím, že je môj systém napadnutý?
Ak chcú skontrolovať, či je ich systém infikovaný, môže vyhľadať súbory „ld.so“. Ak niektorý zo súborov neobsahuje reťazec „/etc/ld.so.preload“, môže byť váš systém napadnutý.
Je to tak preto, lebo trójsky implantát sa pokúsi opraviť inštancie súboru ld.so, aby vynútil mechanizmus LD_PRELOAD z ľubovoľných umiestnení.
Fuente: https://www.intezer.com/