Ryan Robinson ผู้เชี่ยวชาญจาก Intezer ค้นพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Linux ในรูปแบบที่ไม่เคยถูกพบมาก่อน โดยครั้งนี้ใช้ชื่อว่า Lightning Framework ความพิเศษคือมันสามารถแก้ไข architecture และติดตั้ง Rootkit บนเครื่องเป้าหมายได้อีกด้วย นอกจากนี้ยังมีความสามารถอื่นๆอีกมาย เช่น มีการติดต่อกับผู้โจมตีทั้งแบบ Auto และแบบ Active, การเปิด SSH บนเครื่องเป้าหมาย รวมไปถึงการปรับเปลี่ยนคำสั่งที่ใช้ในการควบคุมเครื่องเหยื่อได้อีกด้วย
ลักษณะการโจมตี
- มัลแวร์นี้จะใช้ Downloader โหลด Module ที่ชื่อ kbioset และ kkdmflush ซึ่งทำหน้าที่สำหรับดึงปลั๊กอินอื่นๆอย่างน้อย 7 ชนิดจาก Server ภายนอกมาติดตั้ง ซึ่งปลั๊กอินเหล่านี้จะถูกเรียกใช้ใน Component หลักในเวลาต่อมา
- นอกจากจะทำหน้าที่ในการดาวโหลด Module ต่างๆแล้ว Downloader จะทำหน้าที่ปกป้องให้ Module ที่โหลดมาคงอยู่บนระบบได้ด้วย
- จากนั้น Module หลักของมัลแวร์จะสร้างช่องทางการติดต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อดึงคำสั่งในการรันปลั๊กอิน ซึ่งมีทั้งคำสั่ง Run PowerShell, อัปโหลดไฟล์ไปยัง C2 Server,เขียนข้อมูลลงในไฟล์ หรือแม้แต่อัปเดต และลบตัวเองออกจากเครื่องเป้าหมาย
- สุดท้าย มันจะทำการสร้างสคริปต์สำหรับ Autorun ทำให้ตัวมันทำงานทันทีแม้จะมีการ Reboot ระบบ
สิ่งที่น่าสนใจของ Lightning Framework คือเป็น Framework ขนาดใหญ่ที่พัฒนาขึ้นสำหรับโจมตี Linux Server โดยเฉพาะ ผู้ใช้งานจึงต้องหมั่นติดตามข่าวสารอย่างใกล้ชิด
ที่มา : thehackernews
You must be logged in to post a comment.