Siber güvenlik araştırmacıları, enfekte olmuş sistemlerde kalıcılık sağlamak ve kredi kartı kopyalama kodunu gizlemek için alışılmadık bir teknik kullanan yeni bir gizli Linux kötü amaçlı yazılım parçasını ortaya çıkardı.
Finansal amaçlı bir tehdit aktörüne atfedilen kötü amaçlı yazılımın kod adı şöyle: sedeks Aon’un Stroz Friedberg olay müdahale hizmetleri ekibi tarafından.
Araştırmacılar Zachary Reichert, Daniel Stein ve Joshua Pivirotto, “2022’den beri aktif olan bu gelişmiş tehdit, saldırganlara ters kabuk yetenekleri ve gelişmiş gizlenme taktikleri sağlarken açıkça görülebiliyor.” söz konusu.
Kötü niyetli kişilerin sürekli olarak doğaçlama yapıp mesleklerini geliştirmeleri ve tespit edilmekten kaçınmak için yeni tekniklere başvurmaları şaşırtıcı değil.
Sedexp’i dikkat çekici kılan şey, kalıcılığı sürdürmek için udev kurallarını kullanmasıdır. Aygıt Dosya Sistemi’nin yerine geçen Udev, teklifler Cihazları özelliklerine göre tanımlayan ve cihaz durumunda bir değişiklik olduğunda (örneğin, bir cihaz takıldığında veya çıkarıldığında) yanıt verecek kuralları yapılandıran bir mekanizma.
Udev kural dosyasındaki her satır en az bir kez anahtar-değer çifti içerir; bu sayede cihazları adlarına göre eşleştirmek ve çeşitli cihaz olayları algılandığında belirli eylemleri tetiklemek mümkün olur (örneğin, harici bir sürücü bağlandığında otomatik yedeklemeyi tetiklemek).
“Eşleşen bir kural, aygıt düğümünün adını belirtebilir, düğüme işaret eden sembolik bağlantılar ekleyebilir veya olay işlemenin bir parçası olarak belirtilen bir programı çalıştırabilir,” SUSE Linux notlar belgelerinde. “Eşleşen bir kural bulunmazsa, varsayılan aygıt düğümü adı aygıt düğümünü oluşturmak için kullanılır.”
Sedexp için udev kuralı — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — kötü amaçlı yazılımın /dev/random (şuna karşılık gelir) her çalıştırıldığında çalıştırılması için ayarlanmıştır. cihaz küçük sayı 8) yüklenir ve bu genellikle her yeniden başlatmada gerçekleşir.
Başka bir deyişle, RUN parametresinde belirtilen program, sistem her yeniden başlatıldığında çalıştırılır.
Kötü amaçlı yazılım, tehlikeye atılan bilgisayara uzaktan erişimi kolaylaştırmak için ters bir kabuk başlatma ve ls veya find gibi komutlardan “sedexp” dizesini içeren herhangi bir dosyayı gizlemek için belleği değiştirme yetenekleriyle birlikte gelir.
Stroz Friedberg, araştırdığı örneklerde bu yeteneğin web kabuklarını gizlemek, Apache yapılandırma dosyalarını değiştirmek ve udev kuralının kendisini gizlemek için kullanıldığını söyledi.
Araştırmacılar, “Kötü amaçlı yazılım, bir web sunucusunda kredi kartı kazıma kodunu gizlemek için kullanıldı ve bu da finansal kazanca odaklanıldığını gösteriyor,” dedi. “Sedexp’in keşfi, fidye yazılımının ötesinde finansal olarak motive olmuş tehdit aktörlerinin gelişen karmaşıklığını gösteriyor.”