Istraživači kibernetičke sigurnosti otkrili su novi skriveni dio Linux malicioznog softvera koji koristi nekonvencionalnu tehniku za postizanje postojanosti na zaraženim sistemima i sakrivanje koda skimera kreditnih kartica.
Maliciozni softver, koji se pripisuje financijski motivisanom hakeru, dobio je kodno ime sedexp od strane Aonove službe za odgovor na incidente Stroza Friedberga.
“Ova napredna prijetnja, aktivna od 2022. godine, skriva se na vidnom mjestu, dok napadačima pruža mogućnosti povratne granate i napredne taktike prikrivanja”, rekli su istraživači Zachary Reichert, Daniel Stein i Joshua Pivirotto .
Nije iznenađujuće da maliciozni hakeri neprestano improvizuju i usavršavaju svoj zanat, te su se okrenuli novim tehnikama kako bi izbjegli otkrivanje.
Ono što sedexp čini vrijednim pažnje je njegova upotreba udev pravila za održavanje postojanosti. Udev, zamjena za sistem datoteka uređaja, nudi mehanizam za identifikaciju uređaja na osnovu njihovih svojstava i konfigurisanje pravila da reaguju kada dođe do promjene stanja uređaja, tj., uređaj je uključen ili uklonjen.
Svaki red u datoteci pravila udev ima barem jedan par ključ-vrijednost, što omogućava uparivanje uređaja po imenu i pokretanje određenih radnji kada se otkriju različiti događaji na uređaju (npr. aktiviranje automatskog sigurnosnog kopiranja kada je priključen vanjski disk).
“Pravilo podudaranja može specifikovati ime čvora uređaja, dodati simboličke veze koje upućuju na čvor ili pokrenuti određeni program kao dio rukovanja događajima”, bilježi SUSE Linux u svojoj dokumentaciji. “Ako nije pronađeno odgovarajuće pravilo, za kreiranje čvora uređaja koristi se zadani naziv čvora uređaja.”
Udev pravilo za sedexp — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — postavljeno je tako da maliciozni softver se pokreće kad god se učita /dev/random (odgovara manjem broju uređaja 8 ), što se obično događa nakon svakog ponovnog pokretanja.
Drugačije rečeno, program naveden u parametru RUN se izvršava svaki put nakon ponovnog pokretanja sistema.
Maliciozni softver dolazi s mogućnošću pokretanja obrnute ljuske kako bi se olakšao daljinski pristup narušenog hostu, kao i modifikovanje memorije da sakrije bilo koju datoteku koja sadrži string “sedexp” od naredbi poput ls ili find.
Stroz Friedberg je rekao da je u slučajevima koje je istraživao, ta mogućnost korištena da se sakrije web ljuske, izmijenjene Apache konfiguracijske datoteke i samo pravilo udev.
“Maliciozni softver je korišten za sakrivanje koda za scraping kreditne kartice na web serveru, što ukazuje na fokus na finansijsku dobit”, rekli su istraživači. “Otkriće sedexp-a pokazuje naprednu sofisticiranost finansijski motiviranih aktera prijetnji izvan ransomwarea.”
Izvor: TheHackerNews