Shikitega เป็นมัลแวร์บน Linux ตัวใหม่ ที่ถูกพบว่าใช้วิธีการโจมตีหลายขั้นตอนเพื่อเข้าควบคุมเครื่อง และอุปกรณ์ IoT
AT&T Alien Labs ระบุในรายงานถึงผู้โจมตีที่สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์ นอกจากนั้นยังมีการติดตั้งมัลแวร์สำหรับขุดเหรียญ cryptocurrency รวมไปถึงวิธีการอื่น ๆ ที่ทำให้สามารถแฝงตัวอยู่บนระบบได้
ปัจจุบันเริ่มมีการพบ Linux malware มากขึ้นเรื่อย ๆ ในช่วงไม่กี่เดือนที่ผ่านมา เช่น BPFDoor, Symbiote, Syslogk, OrBit และ Lightning Framework
เมื่อสามารถติดตั้งลงบนเครื่องเหยื่อที่เป็นเป้าหมาย ตัวมัลแวร์จะเริ่มทำการดาวน์โหลด และเรียกใช้งานเครื่องมือที่ชื่อว่า "Mettle" ของ Metasploit เพื่อเข้าควบคุมระบบ และใช้ประโยชน์จากช่องโหว่อื่น ๆ เพื่อทำการยกระดับสิทธิ์ เพิ่ม crontab เพื่อทำให้ตัวมันสามารถแฝงตัวทำงานอยู่บนเครื่องเหยื่อได้ และแอบติดตั้ง มัลแวร์สำหรับขุดเหรียญ cryptocurrency บนเครื่องเหยื่ออีกด้วย
วิธีการที่ผู้โจมตีใช้ในการโจมตีเป็นขั้นตอนแรกนั้นยังไม่ทราบแน่ชัด แต่สิ่งที่ทำให้ Shikitega สามารถหลบเลี่ยงการตจรวจจับได้คือ ความสามารถในการดาวน์โหลดเพย์โหลดจากเซิร์ฟเวอร์ command-and-control (C2) และสั่งรันโดยตรงในหน่วยความจำ
ส่วนการยกระดับสิทธิ์มักจะทำได้โดยใช้ประโยชน์จากช่องโหว่ CVE-2021-4034 (aka PwnKit) และ CVE-2021-3493 เพื่อทำให้ผู้โจมตีได้สิทธิ์ root ในการรัน shell scripts เพื่อแฝงตัวอยู่บนระบบต่อ และติดตั้ง Monero crypto miner
ในการหลีกเลี่ยงการตรวจจับ ผู้โจมตีจะใช้ "Shikata ga nai" ซึ่งเป็นตัวเข้ารหัสแบบ polymorphic ซึ่งทำให้ยากต่อการตรวจจับโดย antivirus engines ส่วน command-and-control (C2) ก็จะใช้บริการคลาวด์ที่ได้รับความนิยมโดยทั่วไป
มัลแวร์ Shiketega มีรูปแบบที่ค่อนข้างซับซ้อน นอกจากการใช้ตัวเข้ารหัสแบบ polymorphic และค่อย ๆ ส่งเพย์โหลดแล้ว ในแต่ละขั้นตอนก็จะเผยให้เห็นข้อมูลของเพย์โหลดเพียงแค่บางส่วนเท่านั้น
ที่มา : thehackernews
