Yepyeni bir Linux kötü amaçlı yazılımı (yeni sekmede açılır) Görünürde gizli kalmak için meşru bulut hizmetlerini kötüye kullanabilen farklı türde kötü durumlara sahip bir tür tespit edildi.
AT&T Alien Labs’tan siber güvenlik araştırmacıları yeni keşfedildi (yeni sekmede açılır) kötü amaçlı yazılım ve Shikitega adını verdi. Yükü kademeli olarak düşüren bir polimorfik kodlayıcı kullanan süper küçük bir damlalık (376 bayt) ile birlikte gelir. Bu, kötü amaçlı yazılımın her seferinde bir modülü indirip çalıştıracağı, böylece gizli ve kalıcı kaldığından emin olacağı anlamına gelir.
Kötü amaçlı yazılım için komuta ve kontrol (C2) sunucusunun “bilinen bir barındırma hizmetinde” barındırıldığı ve bu da onu daha gizli hale getirdiği söylendi.
PwnKit’i Kötüye Kullanmak
Araştırmacılar, kötü amaçlı yazılımın yazarlarının neyi başarmaya çalıştıklarından kesinlikle emin değiller.
Shikitega, her türlü Linux üzerinde çalışabildiği için oldukça güçlüdür. (yeni sekmede açılır) cihazlar ve tehdit aktörlerinin hedef uç noktadaki web kamerasını kontrol etmesine izin verir (yeni sekmede açılır), ayrıca kimlik bilgilerini çalmak. Öte yandan, saldırganlar için Monero kripto para birimini çıkaran bilinen bir kripto hırsızı olan XMRig’i de çalıştırabilir. Yalnızca XMRig’in, çalınacak hassas verileri olmayan, güvenliği ihlal edilmiş cihazlardan yararlanmak için eklendiği tahmin edilebilir.
Kötü amaçlı yazılım, cihazları tehlikeye atmak ve kalıcılık sağlamak için her ikisi de aylar önce yamalanan iki güvenlik açığına güveniyor. Biri PwnKit (CVE-2021-4034), bu yılın başlarında nihayet tespit edilip düzeltilmeden önce yaklaşık 12 yıl boyunca fark edilmeyen daha kötü şöhretli güvenlik açıklarından biri. Diğeri ise CVE-2021-3493 olup, bir yıldan uzun bir süre önce (Nisan 2021’de) keşfedilmiş ve yamalanmıştır.
Araştırmacılar, bu deliklerin her ikisi için de bir düzeltme olsa da, birçok BT yöneticisinin, özellikle de Nesnelerin İnterneti (IoT) cihazları söz konusu olduğunda bunları henüz uygulamadığını söylüyor.
Araştırmacılar henüz yazarların kim olduğunu bilmiyorlar ve tüm Linux yöneticilerine yazılımlarını güncel tutmalarını, bir antivirüs yüklemelerini öneriyorlar. (yeni sekmede açılır) ve/veya EDR’yi tüm uç noktalarda bulun ve sunucu dosyalarını yedeklediklerinden emin olun.
Aracılığıyla: Ars Teknik (yeni sekmede açılır)
