Vài ngày trước Các nhà nghiên cứu bảo mật đã phát hiện ra nhiều loại phần mềm độc hại mới trên Linux Nó dường như được tạo ra bởi các tin tặc Trung Quốc và được sử dụng như một phương tiện để điều khiển từ xa các hệ thống bị nhiễm.
Được gọi là HiddenWasp, Phần mềm độc hại này bao gồm rootkit ở chế độ người dùng, Trojan và tập lệnh triển khai ban đầu.
Không giống như các chương trình độc hại khác chạy trên Linux, mã và các bằng chứng thu thập được cho thấy rằng các máy tính bị lây nhiễm đã bị xâm nhập bởi chính những tin tặc này.
Do đó, việc thực hiện HiddenWasp sẽ là một giai đoạn nâng cao trong chuỗi tiêu diệt mối đe dọa này.
Mặc dù bài báo nói rằng chúng tôi không biết có bao nhiêu máy tính đã bị nhiễm hoặc các bước trên được thực hiện như thế nào, nhưng cần lưu ý rằng hầu hết các chương trình loại "Backdoor" đều được cài đặt bằng cách nhấp vào một đối tượng. (liên kết, hình ảnh hoặc tệp thực thi) mà người dùng không nhận ra rằng đó là một mối đe dọa.
Kỹ thuật xã hội, là một hình thức tấn công được sử dụng bởi Trojan để lừa nạn nhân cài đặt các gói phần mềm như HiddenWasp trên máy tính hoặc thiết bị di động của họ, có thể là kỹ thuật được những kẻ tấn công này áp dụng để đạt được mục đích của họ.
Trong chiến lược ngăn chặn và trốn thoát của mình, bộ dụng cụ sử dụng một tập lệnh bash kèm theo một tệp nhị phân. Theo các nhà nghiên cứu của Intezer, các tệp được tải xuống từ Total Virus có đường dẫn chứa tên của một tổ chức pháp y có trụ sở tại Trung Quốc.
Giới thiệu về HiddenWasp
Phần mềm độc hại HiddenWasp được tạo thành từ ba thành phần nguy hiểm, chẳng hạn như Rootkit, Trojan và một tập lệnh độc hại.
Các hệ thống sau đây đang hoạt động như một phần của mối đe dọa.
- Thao tác hệ thống tệp cục bộ: Công cụ này có thể được sử dụng để tải tất cả các loại tệp lên máy chủ của nạn nhân hoặc chiếm đoạt bất kỳ thông tin người dùng nào, bao gồm cả thông tin cá nhân và hệ thống. Điều này đặc biệt đáng lo ngại vì nó có thể được sử dụng để dẫn đến các tội ác như trộm cắp tài chính và trộm cắp danh tính.
- Thực hiện lệnh: công cụ chính có thể tự động khởi động tất cả các loại lệnh, kể cả những lệnh có quyền root, nếu bao gồm một vòng qua bảo mật như vậy.
- Phân phối trọng tải bổ sung: nhiễm trùng đã tạo có thể được sử dụng để cài đặt và khởi chạy phần mềm độc hại khác, bao gồm cả phần mềm tống tiền và máy chủ tiền điện tử.
- Hoạt động của Trojan: Phần mềm độc hại HiddenWasp Linux có thể được sử dụng để kiểm soát các máy tính bị ảnh hưởng.
Bên cạnh đó, phần mềm độc hại sẽ được lưu trữ trên các máy chủ của một công ty lưu trữ máy chủ vật lý có tên là Think Dream đặt tại Hồng Kông.
"Phần mềm độc hại Linux vẫn chưa được biết đến với các nền tảng khác có thể tạo ra những thách thức mới cho cộng đồng bảo mật", nhà nghiên cứu Ignacio Sanmillan của Intezer đã viết trong bài báo của mình
Ông nói: “Thực tế là chương trình độc hại này nằm trong tầm ngắm của radar sẽ là một lá cờ đỏ cho ngành bảo mật dành nhiều nỗ lực hoặc nguồn lực hơn để phát hiện những mối đe dọa này.
Các chuyên gia khác cũng bình luận về vấn đề này, Tom Hegel, nhà nghiên cứu bảo mật tại AT&T Alien Labs:
“Có rất nhiều điều chưa biết, vì các phần của bộ công cụ này có một số mã / tái sử dụng trùng lặp với các công cụ nguồn mở khác nhau. Tuy nhiên, dựa trên một mô hình chồng chéo lớn và thiết kế cơ sở hạ tầng, ngoài việc sử dụng nó trong các mục tiêu, chúng tôi tự tin đánh giá sự liên kết với Winnti Umbrella.
Tim Erlin, Phó Chủ tịch, Quản lý Sản phẩm và Chiến lược tại Tripwire:
“HiddenWasp không phải là duy nhất trong công nghệ của nó, ngoài việc nhắm mục tiêu vào Linux. Nếu bạn đang theo dõi hệ thống Linux của mình để tìm các thay đổi quan trọng đối với tệp hoặc các tệp mới xuất hiện hoặc các thay đổi đáng ngờ khác, phần mềm độc hại có thể được xác định là HiddenWasp ”
Làm cách nào để biết hệ thống của tôi bị xâm phạm?
Để kiểm tra xem hệ thống của họ có bị nhiễm hay không, họ có thể tìm kiếm các tệp "ld.so". Nếu bất kỳ tệp nào không chứa chuỗi '/etc/ld.so.preload', hệ thống của bạn có thể bị xâm phạm.
Điều này là do cấy ghép Trojan sẽ cố gắng vá các bản sao của ld.so để thực thi cơ chế LD_PRELOAD từ các vị trí tùy ý.
Fuente: https://www.intezer.com/