เมนู

Stealthy Shikitega Malware 

Shikitega Full

มุ่งเป้าระบบปฏิบัติการ Linux, IoT CVE-2021-4034, CVE-2021-3493

12 กันยายน 2565

พบมัลแวร์ตัวใหม่บน Linux ชื่อว่า Shikitega ที่ถูกเปิดเผยว่าใช้วิธีการโจมตีแบบ multi-stage infection chain เพื่อควบคุมอุปกรณ์ IoT และฝัง Payload เพิ่มเติม

ทาง AT&T Alien Labs ได้ออกมารายงานถึงผู้โจมตีที่สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์รวมถึงเครื่องขุดเหรียญ cryptocurrency ในการตั้งค่าการทำงานต่างๆ ให้สามารถทำงานได้อย่างคงที่

จากผลการวิจัยที่ผ่านมาได้พบ Linux malware มากขึ้น ซึ่งในช่วงเดือนที่ผ่านมา ได้แก่ BPFDoorSymbioteSyslogkOrBit, และ Lightning Framework

เมื่อทำการปรับใช้บนเครื่องเป้าหมายแล้ว ในการโจมตีจะดาวน์โหลด และเรียกใช้เครื่องมือที่ใช้ตรวจสอบที่ชื่อว่า “Mettle” ของ Metasploit เพื่อควบคุม และใช้ประโยชน์จากช่องโหว่ เพื่อยกระดับสิทธิ์ด้วย crontab เพื่อให้สามารถฝังตัวอยู่บนเครื่องเป้าหมายรวมถึงเปิดใช้งานฟังก์ชันต่างๆ สำหรับการขุดเหรียญสกุลเงิน cryptocurrency บนเครื่องเป้าหมาย

วิธีการการโจมตีที่ชัดเจนยังไม่ทราบแน่ชัดว่ามีขั้นตอนอะไรบ้าง แต่สิ่งที่ทำให้ Shikitega สามารถหลีกเลี่ยงกรตรวจจับได้ คือ การดาวน์โหลด Payload จากอุปกรณ์เซิร์ฟเวอร์ command-and-control (C2) และออกคำสั่งโดยตรงไปยังหน่วยความจำ

ในการยกระดับสิทธิทำได้โดยการใช้ประโยชน์จากช่องโหว่ CVE-2021-4034 (aka PwnKit) และ CVE-2021-3493 ทำให้ผู้โจมตีได้รับสิทธิ์ที่อยู่ในระบบ root และสามารถสั่งรัน shell scripts เพื่อฝังการทำงานต่างๆ รวมถึงปรับใช้งานใน The Monero crypto miner

วิธีที่หลีกเลี่ยงการตรวจจับ ผู้โจมตีจะใช้การเข้ารหัสแบบ polymorphic หรือที่เรียกว่า “Shikata ga nai” เพื่อให้ยากต่อการตรวจจับด้วย antivirus engines และใช้บริการคลาวด์ในสำหรับการทำงานในส่วนของ command-and-control (C2)

นอกจากนี้วิธีการของ Shikitega ยังแสดงให้เห็นว่าผู้โจมตีได้มุ่งเป้าหมายไปยังผู้ใช้งานในระบบปฏิบัติการ Linux ที่มีการใช้งานกันอย่างแพร่หลายไม่ว่าจะเป็นในส่วนของระบบคลาวด์ และบนอุปกรณ์เซิร์ฟเวอร์ ส่งผลให้มีการถูกโจมตีด้วย LockBit และ Cheercrypt เพิ่มมากขึ้น

ท้ายที่สุดมัลแวร์ Shikitega ถูกส่งข้อมูลมาในรูปแบบที่ซับซ้อน โดยมีการใช้ตัวเข้ารหัสแบบ polymorphic และค่อยๆ ทยอยส่ง Payload ในการทำงานแต่ละขั้นตอนที่จะแสดงให้เห็นข้อมูลบางส่วนเท่านั้น จากที่ได้มีการส่งมาทั้งหมด