Пре неки дан Истраживачи безбедности открили су нову врсту злонамерног софтвера за Линук Изгледа да су га креирали кинески хакери и да је коришћен као средство за даљинску контролу заражених система.
Назван ХидденВасп, Овај малвер се састоји од рооткита у корисничком режиму, тројанца и скрипте за почетно постављање.
За разлику од других злонамерних програма који се изводе на Линуку, код и прикупљени докази показују да су заражени рачунари већ угрожени од стране истих тих хакера.
Извршење ХидденВасп-а би стога било напредна фаза у ланцу уништавања ове претње.
Иако се у чланку каже да не знамо колико је рачунара заражено нити како су изведени горњи кораци, треба напоменути да се већина програма типа „Бацкдоор“ инсталира кликом на објекат. (веза, слика или извршна датотека), а да корисник не схвата да то представља претњу.
Социјални инжењеринг, који је облик напада који тројански корисници користе да преваре жртве да инсталирају софтверске пакете попут ХидденВасп на своје рачунаре или мобилне уређаје, могао би бити техника коју су ови нападачи усвојили да би постигли своје циљеве.
У својој стратегији бекства и одвраћања, комплет користи басх скрипту праћену бинарном датотеком. Према истраживачима компаније Интезер, датотеке преузете са Тотал Вирус-а имају пут који садржи име форензичког друштва са седиштем у Кини.
О ХидденВасп-у
Злонамерних програма ХидденВасп се састоји од три опасне компоненте, као што су Рооткит, Тројанац и злонамерна скрипта.
Следећи системи раде као део претње.
- Манипулација локалним системом датотека: Механизам се може користити за отпремање свих врста датотека на хостове жртве или за отмицу било којих корисничких података, укључујући личне и системске информације. Ово је посебно забрињавајуће јер се може користити за вођење злочина попут финансијске крађе и крађе идентитета.
- Извршење наредбе: главни механизам може аутоматски покретати све врсте наредби, укључујући и оне са роот дозволама, ако је укључено такво сигурносно заобилажење.
- Достава додатног терета: створене инфекције могу се користити за инсталирање и покретање другог малвера, укључујући рансомваре и сервере за крипто валуту.
- Тројанске операције: Злонамјерни софтвер ХидденВасп Линук може се користити за преузимање контроле над погођеним рачунарима.
Поред тога, злонамерни софтвер би био хостован на серверима физичке компаније за хостинг сервера под називом Тхинк Дреам која се налази у Хонг Конгу.
„Злонамерни софтвер за Линук и даље непознат другим платформама могао би створити нове изазове за безбедносну заједницу“, написао је истраживач Интезера Игнацио Санмиллан у свом чланку
„Чињеница да овај злонамерни програм успева да остане испод радара треба да буде црвена застава за безбедносну индустрију да посвети више напора или ресурса за откривање ових претњи“, рекао је он.
Други стручњаци су такође коментарисали ствар, Том Хегел, истраживач безбедности у АТ&Т Алиен Лабс:
„Постоји много непознаница, јер делови овог скупа алата имају преклапања кодова / поновне употребе са разним алатима отвореног кода. Међутим, на основу великог обрасца преклапања и дизајна инфраструктуре, поред његове употребе у циљевима, поуздано процењујемо повезаност са Виннти Умбрелла-ом.
Тим Ерлин, потпредседник, управљање производима и стратегија компаније Трипвире:
„ХидденВасп није јединствен у својој технологији, осим што циља Линук. Ако надгледате своје Линук системе ради критичних промена датотека, појаве нових датотека или других сумњивих промена, малвер ће се вероватно идентификовати као ХидденВасп “
Како да знам да је мој систем угрожен?
Да би проверили да ли је њихов систем заражен, могу потражити датотеке "лд.со". Ако било која датотека не садржи низ '/етц/лд.со.прелоад', ваш систем може бити угрожен.
То је зато што ће тројански имплант покушати да закрпи инстанце лд.со како би наметнуо механизам ЛД_ПРЕЛОАД са произвољних локација.
izvor: https://www.intezer.com/