Några dagar sedan Säkerhetsforskare har upptäckt en ny mängd Linux-skadlig programvara Det verkar ha skapats av kinesiska hackare och har använts som ett medel för att fjärrstyra infekterade system.
Kallas HiddenWasp, Den här skadliga programvaran består av ett användarläge rootkit, en Trojan och ett första installationsskript.
Till skillnad från andra skadliga program som körs på Linux, koden och det samlade beviset visar att de infekterade datorerna redan har äventyrats av samma hackare.
Avrättningen av HiddenWasp skulle därför vara ett avancerat steg i kedjan av förstörelse av detta hot.
Även om artikeln säger att vi inte vet hur många datorer som infekterats eller hur ovanstående steg utfördes, bör det noteras att de flesta program av bakdörrstyp installeras genom att klicka på ett objekt. (länk, bild eller körbar fil), utan att användaren inser att det är ett hot.
Socialteknik, som är en form av attack som används av trojaner för att lura offer för att installera programvarupaket som HiddenWasp på sina datorer eller mobila enheter, kan vara den teknik som dessa angripare använder för att uppnå sina mål.
I sin flykt- och avskräckningsstrategi använder satsen ett bash-skript åtföljd av en binär fil. Enligt Intezer-forskare har filerna som laddas ner från Total Virus en sökväg som innehåller namnet på ett kriminaltekniskt samhälle baserat i Kina.
Om HiddenWasp
skadliga program HiddenWasp består av tre farliga komponenter, till exempel Rootkit, Trojan och ett skadligt skript.
Följande system fungerar som en del av hotet.
- Lokal filsystemmanipulation: Motorn kan användas för att ladda upp alla typer av filer till offrets värdar eller kapa all användarinformation, inklusive personlig information och systeminformation. Detta är särskilt oroande eftersom det kan användas för att leda till brott som ekonomisk stöld och identitetsstöld.
- Kommandokörning: huvudmotorn kan automatiskt starta alla typer av kommandon, inklusive de med rootbehörigheter, om en sådan säkerhetsbypass ingår.
- Ytterligare nyttolastleverans: skapade infektioner kan användas för att installera och starta annan skadlig kod, inklusive ransomware och kryptovalutaservrar.
- Trojansk verksamhet: HiddenWasp Linux-skadlig kod kan användas för att ta kontroll över berörda datorer.
Dessutom, skadlig programvara skulle vara värd för servrarna hos ett fysiskt serverhotellföretag som heter Think Dream i Hong Kong.
"Linux-skadlig programvara som fortfarande är okänd för andra plattformar kan skapa nya utmaningar för säkerhetsgemenskapen", skrev Intezer-forskaren Ignacio Sanmillan i sin artikel
"Det faktum att detta skadliga program lyckas stanna under radaren borde vara en röd flagga för säkerhetsindustrin för att ägna mer ansträngning eller resurser för att upptäcka dessa hot," sa han.
Andra experter kommenterade också frågan, Tom Hegel, säkerhetsforskare på AT&T Alien Labs:
”Det finns många okända, eftersom bitarna i denna verktygslåda har viss kod / återanvändning som överlappar varandra med olika open source-verktyg. Baserat på ett stort mönster av överlappning och infrastrukturdesign, förutom dess användning i mål, utvärderar vi dock säkert sambandet med Winnti Umbrella. '
Tim Erlin, vice vd, produktledning och strategi på Tripwire:
”HiddenWasp är inte unik i sin teknik, förutom att rikta sig mot Linux. Om du övervakar dina Linux-system för kritiska filändringar eller för att nya filer ska visas eller för andra misstänkta ändringar, identifieras skadlig kod troligen som HiddenWasp.
Hur vet jag att mitt system äventyras?
För att kontrollera om deras system är infekterat kan de leta efter "ld.so" -filer. Om någon av filerna inte innehåller strängen '/etc/ld.so.preload' kan ditt system äventyras.
Detta beror på att Trojan-implantatet kommer att försöka korrigera instanser av ld.so för att genomdriva LD_PRELOAD-mekanismen från godtyckliga platser.
Fuente: https://www.intezer.com/