Stealthy Shikitega Malware
12 กันยายน 2565
พบมัลแวร์ตัวใหม่บน Linux ชื่อว่า Shikitega ที่ถูกเปิดเผยว่าใช้วิธีการโจมตีแบบ multi-stage infection chain เพื่อควบคุมอุปกรณ์ IoT และฝัง Payload เพิ่มเติม
ทาง AT&T Alien Labs ได้ออกมารายงานถึงผู้โจมตีที่สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์รวมถึงเครื่องขุดเหรียญ cryptocurrency ในการตั้งค่าการทำงานต่างๆ ให้สามารถทำงานได้อย่างคงที่
จากผลการวิจัยที่ผ่านมาได้พบ Linux malware มากขึ้น ซึ่งในช่วงเดือนที่ผ่านมา ได้แก่ BPFDoor, Symbiote, Syslogk, OrBit, และ Lightning Framework
เมื่อทำการปรับใช้บนเครื่องเป้าหมายแล้ว ในการโจมตีจะดาวน์โหลด และเรียกใช้เครื่องมือที่ใช้ตรวจสอบที่ชื่อว่า “Mettle” ของ Metasploit เพื่อควบคุม และใช้ประโยชน์จากช่องโหว่ เพื่อยกระดับสิทธิ์ด้วย crontab เพื่อให้สามารถฝังตัวอยู่บนเครื่องเป้าหมายรวมถึงเปิดใช้งานฟังก์ชันต่างๆ สำหรับการขุดเหรียญสกุลเงิน cryptocurrency บนเครื่องเป้าหมาย
วิธีการการโจมตีที่ชัดเจนยังไม่ทราบแน่ชัดว่ามีขั้นตอนอะไรบ้าง แต่สิ่งที่ทำให้ Shikitega สามารถหลีกเลี่ยงกรตรวจจับได้ คือ การดาวน์โหลด Payload จากอุปกรณ์เซิร์ฟเวอร์ command-and-control (C2) และออกคำสั่งโดยตรงไปยังหน่วยความจำ
ในการยกระดับสิทธิทำได้โดยการใช้ประโยชน์จากช่องโหว่ CVE-2021-4034 (aka PwnKit) และ CVE-2021-3493 ทำให้ผู้โจมตีได้รับสิทธิ์ที่อยู่ในระบบ root และสามารถสั่งรัน shell scripts เพื่อฝังการทำงานต่างๆ รวมถึงปรับใช้งานใน The Monero crypto miner
วิธีที่หลีกเลี่ยงการตรวจจับ ผู้โจมตีจะใช้การเข้ารหัสแบบ polymorphic หรือที่เรียกว่า “Shikata ga nai” เพื่อให้ยากต่อการตรวจจับด้วย antivirus engines และใช้บริการคลาวด์ในสำหรับการทำงานในส่วนของ command-and-control (C2)
นอกจากนี้วิธีการของ Shikitega ยังแสดงให้เห็นว่าผู้โจมตีได้มุ่งเป้าหมายไปยังผู้ใช้งานในระบบปฏิบัติการ Linux ที่มีการใช้งานกันอย่างแพร่หลายไม่ว่าจะเป็นในส่วนของระบบคลาวด์ และบนอุปกรณ์เซิร์ฟเวอร์ ส่งผลให้มีการถูกโจมตีด้วย LockBit และ Cheercrypt เพิ่มมากขึ้น
ท้ายที่สุดมัลแวร์ Shikitega ถูกส่งข้อมูลมาในรูปแบบที่ซับซ้อน โดยมีการใช้ตัวเข้ารหัสแบบ polymorphic และค่อยๆ ทยอยส่ง Payload ในการทำงานแต่ละขั้นตอนที่จะแสดงให้เห็นข้อมูลบางส่วนเท่านั้น จากที่ได้มีการส่งมาทั้งหมด
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา