HiddenWasp: një malware që ndikon në sistemet Linux

Darkcrizt

Minuta 4

grerëz e fshehur

Disa ditë më parë Studiuesit e sigurisë kanë zbuluar një larmi të re të malware-eve Linux Duket se është krijuar nga hakerat kinezë dhe është përdorur si një mjet për të kontrolluar në distancë sistemet e infektuara.

Quhet HiddenWasp, Ky malware përbëhet nga një rootkit në modalitetin e përdoruesit, një Trojan dhe një skenar fillestar të vendosjes.

Ndryshe nga programet e tjera me qëllim të keq që funksionojnë në Linux, kodi dhe provat e mbledhura tregojnë se kompjuterët e infektuar tashmë janë komprometuar nga po këta hakera.

Ekzekutimi i HiddenWasp do të ishte pra një fazë e përparuar në zinxhirin e shkatërrimit të këtij kërcënimi.

Megjithëse artikulli thotë se ne nuk e dimë se sa kompjuterë janë infektuar ose si janë kryer hapat e mësipërm, duhet theksuar se shumica e programeve të tipit "Backdoor" instalohen duke klikuar në një objekt. (lidhja, imazhi ose skedari i ekzekutueshëm), pa e kuptuar përdoruesi se është një kërcënim.

Inxhinieri sociale, e cila është një formë sulmi e përdorur nga Trojans për të mashtruar viktimat në instalimin e paketave softuerike si HiddenWasp në kompjuterët e tyre ose pajisjet e lëvizshme, mund të jetë teknika e adoptuar nga këta sulmues për të arritur qëllimet e tyre.

Në strategjinë e tij të arratisjes dhe parandalimit, kompleti përdor një skenar bash të shoqëruar nga një skedar binar. Sipas studiuesve të Intezer, skedarët e shkarkuar nga Total Virus kanë një rrugë që përmban emrin e një shoqërie forenzike të vendosur në Kinë.

Rreth HiddenWasp

Malware HiddenWasp përbëhet nga tre komponentë të rrezikshëm, të tilla si Rootkit, Trojan dhe një skenar me qëllim të keq.

Sistemet e mëposhtme janë duke punuar si pjesë e kërcënimit.

  • Manipulimi lokal i sistemit të skedarëve: Motori mund të përdoret për të ngarkuar të gjitha llojet e skedarëve tek strehuesit e viktimës ose për të rrëmbyer çdo informacion të përdoruesit, duke përfshirë informacionin personal dhe të sistemit. Kjo është veçanërisht shqetësuese pasi mund të përdoret për të çuar në krime të tilla si vjedhjet financiare dhe vjedhjet e identitetit.
  • Ekzekutimi i komandës: motori kryesor mund të fillojë automatikisht të gjitha llojet e komandave, përfshirë ato me leje rrënjësore, nëse përfshihet një bajpas i tillë sigurie.
  • Dorëzimi shtesë i ngarkesës: infeksionet e krijuara mund të përdoren për të instaluar dhe lançuar malware të tjerë, duke përfshirë serverat e ransomware dhe kriptomonedhave.
  • Operacionet Trojan: Malware-i HiddenWasp Linux mund të përdoret për të marrë kontrollin e kompjuterëve të prekur.

Përveç kësaj, malware do të pritej në serverat e një kompanie fizike të mbajtjes së serverave të quajtur Think Dream e vendosur në Hong Kong.

"Malware-i Linux ende i panjohur për platformat e tjera mund të krijojë sfida të reja për komunitetin e sigurisë," shkroi studiuesi i Intezer Ignacio Sanmillan në artikullin e tij

"Fakti që ky program i dëmshëm arrin të qëndrojë nën radar duhet të jetë një flamur i kuq për industrinë e sigurisë që të kushtojë më shumë përpjekje ose burime për të zbuluar këto kërcënime," tha ai.

Ekspertë të tjerë gjithashtu komentuan mbi këtë çështje, Tom Hegel, studiues i sigurisë në AT&T Alien Labs:

“Ka shumë të panjohura, pasi pjesët e kësaj pakete veglash kanë disa mbivendosje të kodit / ripërdorimit me mjete të ndryshme me burim të hapur. Sidoqoftë, bazuar në një model të madh mbivendosjeje dhe dizajnin e infrastrukturës, përveç përdorimit të tij në caqe, ne me siguri vlerësojmë shoqërimin me Winnti Umbrella.

Tim Erlin, Zëvendës President, Menaxhimi i Produktit dhe Strategjia në Tripwire:

“HiddenWasp nuk është unik në teknologjinë e tij, përveç që synohet në Linux. Nëse jeni duke monitoruar sistemet tuaja Linux për ndryshime kritike të skedarëve, ose për shfaqjen e skedarëve të rinj, ose për ndryshime të tjera të dyshimta, malware-i me sa duket identifikohet si HiddenWasp "

Si mund ta di që sistemi im është i kompromentuar?

Për të kontrolluar nëse sistemi i tyre është i infektuar, ata mund të kërkojnë skedarë "ld.so". Nëse ndonjë nga skedarët nuk përmban vargun '/etc/ld.so.preload', sistemi juaj mund të komprometohet.

Kjo është për shkak se implanti Trojan do të përpiqet të patch-et e rasteve të ld.so për të zbatuar mekanizmin LD_PRELOAD nga vendet arbitrare.

Fuente: https://www.intezer.com/


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.