Дослідники з Aqua Security попереджають про нову сім’ю шкідливого програмного забезпечення, спрямованого на системи Linux, яке створює стійкий доступ і викрадає ресурси для майнінгу криптовалюти. Про це повідомляє Security Week.
Шкідливе ПЗ, відоме під назвою perfctl, використовує понад 20 тисяч різних помилкових налаштувань і відомих вразливостей та є активним понад 3 роки.
Зосереджуючись на уникненні виявлення і збереженні стійкості в системі, perfctl використовує руткіт для маскування себе на заражених системах.
Воно працює у фоновому режимі як сервіс, активується лише під час простою машини, використовує Unix сокет і мережу Tor для зв’язку, створює бекдор на зараженому сервері та намагається підвищити привілеї користувача.
Також оператори шкідливого ПЗ використовують додаткові інструменти для розвідки, впровадження проксі-сервісів і запуску майнера криптовалюти.
Атака починається з експлуатації вразливості або неправильної конфігурації, після чого завантажується та виконується шкідливий код із віддаленого HTTP-сервера. Далі він копіюється у тимчасовий каталог, завершує початковий процес, видаляє вихідний файл і виконується з нового місця.
У цьому шкідливому коді є експлойт для CVE-2021-4043 — помилки нульового вказівника середньої небезпеки в мультимедійному фреймворку Gpac, що використовується для отримання прав root. Ця вразливість нещодавно була додана до каталогу відомих експлуатованих вразливостей CISA.
Шкідливе ПЗ також копіює себе до інших місць у системі, впроваджує руткіт і популярні утиліти Linux, модифіковані для роботи як користувацькі руткіти, а також майнер криптовалюти.
Воно відкриває Unix-сокет для локального зв’язку та використовує анонімну мережу Tor для зв’язку із командним сервером (C&C).
За словами фахівців Aqua Security, усі двійкові файли запаковані, зашифровані та захищені, щоб ускладнити аналіз й уникнути захисних механізмів.
Крім того, шкідливе ПЗ стежить за певними файлами та припиняє свою діяльність, якщо виявляє, що користувач увійшов у систему. А також забезпечує виконання налаштувань користувача в середовищах Bash, щоб підтримувати нормальну роботу сервера.
Для стійкості perfctl модифікує скрипт, щоб запускатися перед виконанням легітимного робочого навантаження на сервері. До того ж намагається завершити процеси інших шкідливих програм, які може виявити на інфікованій машині.
Впроваджений руткіт перехоплює різні функції та змінює їхню роботу. Зокрема вносить зміни, які дають змогу виконувати несанкціоновані дії під час процесу автентифікації, такі як обхід перевірки паролів, реєстрація облікових даних або зміна поведінки механізмів автентифікації.
Компанія виявила три сервери для завантаження, пов’язані з атаками, а також кілька вебсайтів, ймовірно, скомпрометованих зловмисниками. Це дало змогу знайти артефакти, які використовувалися для експлуатації вразливих або неправильно налаштованих серверів Linux.
«Ми виявили великий список із майже 20 тисяч каталогів для fuzzing-атак з метою виявлення помилково відкритих конфігураційних файлів і секретних даних», — зазначили в Aqua Security.
Читайте також на нашому сайті про недоліки CUPS, які дозволяють віддалене виконання коду Linux.
Хакери можуть зв’язати набір вразливостей у кількох компонентах системи друку з відкритим кодом CUPS, щоб віддалено виконувати довільний код Linux на вразливих машинах.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
