HiddenWasp: มัลแวร์ที่ส่งผลกระทบต่อระบบ Linux

Darkcrizt

นาทีที่ 4

ซ่อนตัวต่อ

บางวันที่ผ่านมา นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์ลินุกซ์ชนิดใหม่ ๆ ดูเหมือนว่าถูกสร้างขึ้นโดยแฮกเกอร์ชาวจีนและถูกใช้เป็นวิธีควบคุมระบบที่ติดไวรัสจากระยะไกล

เรียกว่า HiddenWasp มัลแวร์นี้ประกอบด้วยรูทคิตโหมดผู้ใช้โทรจันและสคริปต์การปรับใช้เริ่มต้น

ไม่เหมือนกับโปรแกรมที่เป็นอันตรายอื่น ๆ ที่ทำงานบน Linux รหัสและหลักฐานที่รวบรวมได้แสดงให้เห็นว่าคอมพิวเตอร์ที่ติดไวรัสได้ถูกแฮ็กเกอร์รายเดียวกันเหล่านี้บุกรุกแล้ว

การดำเนินการของ HiddenWasp จึงเป็นขั้นสูงในห่วงโซ่แห่งการทำลายล้างภัยคุกคามนี้

แม้ว่าบทความจะบอกว่าเราไม่ทราบจำนวนคอมพิวเตอร์ที่ติดไวรัสหรือขั้นตอนข้างต้นดำเนินการอย่างไร แต่ควรสังเกตว่าโปรแกรมประเภท "Backdoor" ส่วนใหญ่ได้รับการติดตั้งโดยการคลิกที่วัตถุ (ลิงค์รูปภาพหรือไฟล์ปฏิบัติการ) โดยที่ผู้ใช้ไม่ทราบว่าเป็นภัยคุกคาม

วิศวกรรมสังคมซึ่งเป็นรูปแบบหนึ่งของการโจมตีที่โทรจันใช้เพื่อหลอกล่อเหยื่อให้ติดตั้งแพ็คเกจซอฟต์แวร์เช่น HiddenWasp บนคอมพิวเตอร์หรืออุปกรณ์มือถืออาจเป็นเทคนิคที่ผู้โจมตีเหล่านี้นำมาใช้เพื่อให้บรรลุเป้าหมาย

ในกลยุทธ์การหลบหนีและการยับยั้งชุดนี้ใช้สคริปต์ทุบตีพร้อมกับไฟล์ไบนารี ตามที่นักวิจัยของ Intezer ระบุว่าไฟล์ที่ดาวน์โหลดจาก Total Virus มีเส้นทางที่มีชื่อของสมาคมนิติวิทยาศาสตร์ซึ่งตั้งอยู่ในประเทศจีน

เกี่ยวกับ HiddenWasp

มัลแวร์ HiddenWasp ประกอบด้วยส่วนประกอบที่เป็นอันตรายสามอย่างเช่น Rootkit, Trojan และสคริปต์ที่เป็นอันตราย

ระบบต่อไปนี้กำลังทำงานเป็นส่วนหนึ่งของภัยคุกคาม

  • การจัดการระบบไฟล์ภายในเครื่อง: เครื่องมือนี้สามารถใช้เพื่ออัปโหลดไฟล์ทุกชนิดไปยังโฮสต์ของเหยื่อหรือขโมยข้อมูลผู้ใช้ใด ๆ รวมถึงข้อมูลส่วนบุคคลและระบบ สิ่งนี้เกี่ยวข้องโดยเฉพาะอย่างยิ่งเนื่องจากสามารถใช้เพื่อนำไปสู่การก่ออาชญากรรมเช่นการโจรกรรมทางการเงินและการโจรกรรมข้อมูลส่วนบุคคล
  • การดำเนินการคำสั่ง: เอ็นจิ้นหลักสามารถเริ่มคำสั่งทุกประเภทโดยอัตโนมัติรวมถึงคำสั่งที่มีสิทธิ์รูทหากรวมบายพาสความปลอดภัยดังกล่าว
  • การจัดส่งน้ำหนักบรรทุกเพิ่มเติม: การติดเชื้อที่สร้างขึ้นสามารถใช้เพื่อติดตั้งและเปิดมัลแวร์อื่น ๆ รวมถึง ransomware และเซิร์ฟเวอร์ cryptocurrency
  • การทำงานของโทรจัน: สามารถใช้มัลแวร์ HiddenWasp Linux เพื่อควบคุมคอมพิวเตอร์ที่ได้รับผลกระทบ

นอกจากนี้ มัลแวร์จะโฮสต์บนเซิร์ฟเวอร์ของ บริษัท โฮสติ้งเซิร์ฟเวอร์จริงชื่อ Think Dream ซึ่งตั้งอยู่ในฮ่องกง

"มัลแวร์ Linux ที่ยังไม่รู้จักในแพลตฟอร์มอื่น ๆ อาจสร้างความท้าทายใหม่ให้กับชุมชนด้านความปลอดภัย" Ignacio Sanmillan นักวิจัยของ Intezer เขียนในบทความ

"ความจริงที่ว่าโปรแกรมที่เป็นอันตรายนี้จัดการให้อยู่ภายใต้เรดาร์ควรเป็นธงสีแดงสำหรับอุตสาหกรรมความปลอดภัยในการทุ่มเทความพยายามหรือทรัพยากรมากขึ้นในการตรวจจับภัยคุกคามเหล่านี้" เขากล่าว

ผู้เชี่ยวชาญคนอื่น ๆ ยังให้ความเห็นเกี่ยวกับเรื่องนี้ Tom Hegel นักวิจัยด้านความปลอดภัยของ AT&T Alien Labs:

“ มีหลายสิ่งที่ไม่รู้จักเนื่องจากชิ้นส่วนของชุดเครื่องมือนี้มีโค้ด / การใช้ซ้ำซ้อนทับกับเครื่องมือโอเพนซอร์สต่างๆ อย่างไรก็ตามจากรูปแบบการซ้อนทับและการออกแบบโครงสร้างพื้นฐานขนาดใหญ่นอกเหนือจากการใช้งานในเป้าหมายเราประเมินความเกี่ยวข้องกับ Winnti Umbrella อย่างมั่นใจ

Tim Erlin รองประธานฝ่ายบริหารผลิตภัณฑ์และกลยุทธ์ของ Tripwire:

“ HiddenWasp ไม่ได้มีความโดดเด่นในเทคโนโลยีนอกเหนือจากการกำหนดเป้าหมายไปที่ Linux หากคุณกำลังตรวจสอบระบบ Linux ของคุณสำหรับการเปลี่ยนแปลงไฟล์ที่สำคัญหรือเพื่อให้ไฟล์ใหม่ปรากฏขึ้นหรือสำหรับการเปลี่ยนแปลงที่น่าสงสัยอื่น ๆ มัลแวร์อาจถูกระบุว่าเป็น HiddenWasp”

ฉันจะรู้ได้อย่างไรว่าระบบของฉันถูกบุกรุก

หากต้องการตรวจสอบว่าระบบติดไวรัสหรือไม่ให้ค้นหาไฟล์ "ld.so" หากไฟล์ใด ๆ ไม่มีสตริง "/etc/ld.so.preload" ระบบของคุณอาจถูกบุกรุก

เนื่องจากการปลูกฝังโทรจันจะพยายามแก้ไขอินสแตนซ์ของ ld.so เพื่อบังคับใช้กลไก LD_PRELOAD จากตำแหน่งที่กำหนดเอง

Fuente: https://www.intezer.com/


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. รับผิดชอบข้อมูล: AB Internet Networks 2008 SL
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา