Nuovo malware invisibile Shikitega colpisce i sistemi Linux e i dispositivi IoT
È stato recentemente scoperto un nuovo malware per Linux chiamato Shikitega, progettato per infettare e compromettere endpoint e dispositivi IoT e per depositare payload di attacco aggiuntivi.
Le analisi condotte su questa nuova campagna di attacco sottolineano che un attaccante potrebbe ottenere il pieno controllo del sistema, oltre alla possibilità di installare un miner di criptovaluta eseguito in maniera persistente.
Shikitega si aggiunge a un elenco sempre più crescente di malware Linux rilevati da ricercatori di sicurezza (+75% rispetto al 2021): BPFDoor, Symbiote, Syslogk, OrBit e Lightning Framework.
Una volta inoculato in un dispositivo, il malware scarica ed esegue il meterpreter “Mettle” di Metasploit per massimizzare il controllo del dispositivo stesso. L’attacco ha successo sfruttando quelle vulnerabilità che permettono di elevare i privilegi di comando sul dispositivo (CVE-2021-4034 PwnKit e CVE-2021-3493). Una volta ottenuto il pieno possesso del dispositivo, l’attaccante si garantisce la persistenza tramite crontab e avvia il miner di criptovaluta (shell scripts).
La tecnica iniziale non è ancora chiara ma la pericolosità del malware risiede nella capacità di essere invisibile ai sistemi di difesa e di eseguire i payload successivi (provenienti da un server di comando e controllo (C2)) direttamente in memoria.
Eseguire un codice direttamente in memoria rende arduo il rilevamento per un antivirus tradizionale. L’evoluzione degli attacchi richiede necessariamente l’adozione di uno strumento XDR a protezione delle postazioni di lavoro e dei server (Extended Endpoint Detection and Response).