Shikitega Malware

サイバー犯罪者は、Shikitega という名前の洗練された Linux マルウェアの脅威を使用して、Linux システムと IoT (Internet-of-Things) デバイスを制御しています。攻撃者は、侵害されたデバイスへのアクセスを利用して暗号マイニングの脅威をもたらしますが、広範なアクセスと取得されたルート権限により、攻撃者は、必要に応じてピボットし、はるかに破壊的で侵入的なアクションを実行することが容易になります.

この脅威は、複数の異なるモジュール コンポーネントで構成される複雑な多段階の感染チェーンを介して、標的のデバイスに展開されます。各モジュールは、シキテガ ペイロードの前の部分から命令を受け取り、次の部分をダウンロードして実行することでアクションを終了します。

ドロッパーの最初のコンポーネントは数百バイトしかないため、非常にとらえどころがなく、検出が困難です。感染チェーンの特定のモジュールは、Linux の脆弱性を悪用して持続性を実現し、侵害されたシステムの制御を確立するように設計されています。この脅威を分析した AT&T Alien Labs のサイバーセキュリティ研究者によるレポートによると、Shikitega は CVE-2021-3493 および CVE-2021-4034 の脆弱性を悪用していました。 1 つ目は Linux カーネルの検証の問題であり、攻撃者が昇格された権限を取得する原因となります。2 つ目は、polkit の pkexec ユーティリティのローカル権限エスカレーションの脆弱性です。これらの脆弱性のおかげで、Shikitega マルウェアの最後の部分は root 権限で実行されます。もう 1 つの重要な詳細は、この脅威が感染チェーンの一部として、Metasploit ハッキング キットに基づく攻撃的なセキュリティ ツールである Mettle も配信することです。

サイバーセキュリティ研究者は、一部のコマンド アンド コントロール (C2、C&C) サーバーなど、Shikitega 攻撃の特定の要素が正規のクラウド サービスでホストされていると警告しています。 Shikitega はまた、ポリモーフィック エンコーダーを利用して、マルウェア対策ソリューションによる検出をさらに困難にしています。