Кілька днів тому Дослідники безпеки виявили новий різновид зловмисного програмного забезпечення Linux Здається, він був створений китайськими хакерами і використовувався як засіб для віддаленого управління зараженими системами.
Називається HiddenWasp, Це шкідливе програмне забезпечення складається з руткіта користувацького режиму, трояна та початкового сценарію розгортання.
На відміну від інших шкідливих програм, що працюють на Linux, код та зібрані докази показують, що заражені комп'ютери вже були скомпрометовані цими ж хакерами.
Тому виконання HiddenWasp було б передовим етапом у ланцюзі знищення цієї загрози.
Хоча в статті йдеться про те, що ми не знаємо, скільки комп’ютерів було заражено і як виконувались вищевказані кроки, слід зазначити, що більшість програм типу „Backdoor” встановлюються натисканням на об’єкт. (посилання, зображення або виконуваний файл), без того, щоб користувач усвідомив, що це загроза.
Соціальна інженерія, яка є формою нападу, що використовується троянами, щоб обдурити жертв на встановлення програмних пакетів, таких як HiddenWasp, на їхні комп’ютери або мобільні пристрої, може бути методом, який ці зловмисники застосовують для досягнення своїх цілей.
У своїй стратегії втечі та стримування набір використовує скрипт bash, що супроводжується двійковим файлом. На думку дослідників Intezer, файли, завантажені з Total Virus, мають шлях, що містить назву судово-медичного товариства, що базується в Китаї.
Про HiddenWasp
Зловмисне програмне забезпечення HiddenWasp складається з трьох небезпечних компонентів, таких як Rootkit, Trojan та шкідливий скрипт.
Наступні системи працюють як частина загрози.
- Локальна маніпуляція з файловою системою: Механізм можна використовувати для завантаження всіх видів файлів на хости жертви або викрадення будь-якої інформації про користувача, включаючи особисту та системну інформацію. Це особливо стурбовано, оскільки воно може бути використано для злочинів, таких як фінансові крадіжки та крадіжка особистих даних.
- Виконання команди: основний механізм може автоматично запускати всі види команд, включаючи ті, що мають root-дозволи, якщо включений такий обхід безпеки.
- Додавання додаткового корисного навантаження: створені інфекції можна використовувати для встановлення та запуску іншого шкідливого програмного забезпечення, включаючи сервери-вимоглювачі та криптовалюти.
- Троянські операції: Шкідливе програмне забезпечення HiddenWasp Linux може бути використано для управління контрольованими комп’ютерами.
Крім того, шкідливе програмне забезпечення розміщуватиметься на серверах фізичної хостингової компанії Think Dream, розташованої в Гонконгу.
"Зловмисне програмне забезпечення Linux, досі невідоме іншим платформам, може створити нові виклики для спільноти безпеки", - написав дослідник Intezer Ігнасіо Санміллан у своїй статті
"Той факт, що цій шкідливій програмі вдається залишатися під радаром, повинен стати червоним прапором для галузі безпеки, щоб приділити більше зусиль або ресурсів для виявлення цих загроз", - сказав він.
Інші експерти також прокоментували це питання, Том Гегель, дослідник безпеки в AT&T Alien Labs:
“Існує багато невідомих, оскільки частини цього набору інструментів мають певний код / повторне використання, що накладається на різні інструменти з відкритим кодом. Однак, виходячи з великої структури перекриття та дизайну інфраструктури, на додаток до її використання в цілях, ми впевнено оцінюємо асоціацію з Winnti Umbrella.
Тім Ерлін, віце-президент з управління продуктами та стратегії компанії Tripwire:
“HiddenWasp не є унікальним за своєю технологією, окрім націлювання на Linux. Якщо ви стежите за своїми системами Linux на предмет критичних змін файлів, появи нових файлів чи інших підозрілих змін, шкідливе програмне забезпечення, швидше за все, ідентифікується як HiddenWasp ”
Як я знаю, що моя система порушена?
Щоб перевірити, чи заражена їх система, вони можуть шукати файли "ld.so". Якщо будь-який з файлів не містить рядка '/etc/ld.so.preload', ваша система може бути зламана.
Це тому, що троянський імплант намагатиметься виправити екземпляри ld.so, щоб застосувати механізм LD_PRELOAD із довільних розташувань.
Фуенте: https://www.intezer.com/