Исследователи AT&T Alien Labs выявили новое скрытное вредоносное ПО под названием Shikitega, которое способно заражать как серверы, так и устройства Интернета вещей на Linux. Оно использует многоступенчатую схему заражения, доставляя нагрузку по несколько сотен байтов за шаг, а также криптор Shikata Ga Nai.
Это обеспечивает полиморфизм, защищая код от статического анализа на основе сигнатур. Shikitega изменяет свой код каждый раз, когда проходит один из нескольких циклов декодирования. В качестве бэкдора применяется Mettle как облегчённый вариант Meterpreter, с дальнейшей эксплуатацией CVE-2021-4034 и CVE-2021-3493. Исполняемый файл вируса весит 376 байт.
Целью Shikitega является установка криптомайнера, но вредоносный код может использоваться и для доставки полезной нагрузки. Программа сбрасывает программное обеспечение XMRig для добычи криптовалюты Monero. Пакет Mettle позволяет управлять веб-камерой, красть учётные данные и работает на большом числе устройств.
AT&T не сообщила, как происходит первоначальное заражение, но отметила, что Shikitega использует две уязвимости Linux, обнаруженные в 2021 году.
Вредонос использует решения облачного хостинга для хранения части своей полезной нагрузки, связываясь по IP-адресу вместо доменного имени.
Если хочешь быть в курсе интересных мануалов мира ИТ,
подписываемся на канал telegram - t.me/devopslove
#devops #devopslove #devopslovetech #devopsnews
Это обеспечивает полиморфизм, защищая код от статического анализа на основе сигнатур. Shikitega изменяет свой код каждый раз, когда проходит один из нескольких циклов декодирования. В качестве бэкдора применяется Mettle как облегчённый вариант Meterpreter, с дальнейшей эксплуатацией CVE-2021-4034 и CVE-2021-3493. Исполняемый файл вируса весит 376 байт.
Целью Shikitega является установка криптомайнера, но вредоносный код может использоваться и для доставки полезной нагрузки. Программа сбрасывает программное обеспечение XMRig для добычи криптовалюты Monero. Пакет Mettle позволяет управлять веб-камерой, красть учётные данные и работает на большом числе устройств.
AT&T не сообщила, как происходит первоначальное заражение, но отметила, что Shikitega использует две уязвимости Linux, обнаруженные в 2021 году.
Вредонос использует решения облачного хостинга для хранения части своей полезной нагрузки, связываясь по IP-адресу вместо доменного имени.
Если хочешь быть в курсе интересных мануалов мира ИТ,
подписываемся на канал telegram - t.me/devopslove
#devops #devopslove #devopslovetech #devopsnews