Shikitega-Malware
Cyberkriminelle verwenden eine ausgeklügelte Linux-Malware-Bedrohung namens Shikitega, um die Kontrolle über Linux-Systeme und IoT-Geräte (Internet-of-Things) zu erlangen. Die Angreifer nutzen ihren Zugriff auf die verletzten Geräte, um eine Krypto-Mining-Bedrohung zu liefern, aber der breite Zugriff und die erhaltenen Root-Rechte machen es den Angreifern leicht, sich zu drehen und weitaus zerstörerischere und aufdringlichere Aktionen durchzuführen, wenn sie dies wünschen.
Die Bedrohung wird über eine komplexe mehrstufige Infektionskette, die aus mehreren verschiedenen Modulkomponenten besteht, auf den Zielgeräten bereitgestellt. Jedes Modul erhält Anweisungen vom vorherigen Teil der Shikitega-Nutzdaten und beendet seine Aktionen, indem es den nächsten Teil herunterlädt und ausführt.
Die anfängliche Dropper-Komponente besteht nur aus ein paar hundert Bytes, was sie ziemlich schwer fassbar und schwer zu erkennen macht. Bestimmte Module der Infektionskette sind darauf ausgelegt, Linux-Schwachstellen auszunutzen, um Persistenz zu erreichen und die Kontrolle über das angegriffene System zu erlangen. Laut einem Bericht der Cybersicherheitsforscher von AT&T Alien Labs, die die Bedrohung analysierten, hat Shikitega die Schwachstellen CVE-2021-3493 und CVE-2021-4034 missbraucht. Das erste wird als Validierungsproblem im Linux-Kernel beschrieben, das Angreifer dazu veranlasst, erhöhte Rechte zu erlangen, während das zweite eine lokale Privilegien-Eskalations-Schwachstelle im Dienstprogramm pkexec von Polkit ist. Dank dieser Schwachstellen wird der letzte Teil der Shikitega-Malware mit Root-Rechten ausgeführt. Ein weiteres wichtiges Detail ist, dass die Bedrohung als Teil ihrer Infektionskette auch Mettle liefert, ein offensives Sicherheitstool, das auf dem Metasploit-Hacking-Kit basiert.
Die Cybersicherheitsforscher warnen davor, dass bestimmte Elemente des Shikitega-Angriffs, wie einige der Command-and-Control-Server (C2, C&C), auf legitimen Cloud-Diensten gehostet werden. Shikitega verwendet auch einen polymorphen Encoder, um die Erkennung durch Anti-Malware-Lösungen noch schwieriger zu machen.
