针对Linux系统和物联网设备的新型隐蔽Shikitega恶意软件

一种新的隐形Linux恶意软件称为志贵已经发现采用多阶段感染链来危害端点和物联网设备并存放额外的有效载荷。

“除了将被执行并设置为持续的加密货币矿工之外，攻击者还可以获得对系统的完全控制，”AT&外星人实验室在周二发布的一份新报告中说。

这些发现增加了近几个月在野外发现的越来越多的Linux恶意软件，包括BPFDoor、Symbiote、Syslogk、OrBit和Lightning Framework。

一旦部署到目标主机上，攻击链就会下载并执行Metasploit的“Mettle”计量器，以最大化控制，利用漏洞提升其权限，通过crontab在主机上增加持久性，并最终在受感染设备上启动加密货币矿工。

实现最初妥协的确切方法尚不清楚，但使Shikitega回避的是它能够从指挥和控制（C2）服务器下载下一阶段有效载荷并直接在内存中执行。

权限提升是通过利用CVE-2021-4034（又名PwnKit）和CVE-2021-3493实现的，使对手能够滥用提升的权限来获取和执行具有根权限的最后阶段shell脚本，以建立持久性并部署Monero crypto miner。

恶意软件运营商进一步试图在雷达下飞行，他们使用了“Shikata ga nai”多态编码器，使其更难被防病毒引擎检测，并滥用合法云服务实现C2功能。

Shikitega还表明了一种趋势，即恶意行为者正在扩大其攻击范围，以适应在全球云平台和服务器上广泛使用的Linux操作系统，这导致了LockBit和Cheerscrypt勒索软件感染激增。

根据Trend Micro 2022年中网络安全报告，“这些新的Linux勒索软件家族的出现直接对应于与2021上半年相比，2022年上半年针对Linux系统的勒索软件攻击增加了75%”。

“威胁行为体继续寻找以新的方式发送恶意软件的方法，以保持在雷达之下并避免被发现，”AT&外星人实验室研究员奥弗·卡斯比说。

“Shiketega恶意软件是以一种复杂的方式交付的，它使用多态编码器，并逐步交付其有效载荷，其中每一步仅显示总有效载荷的一部分”。