Исследователи AT&Tобнаружилиновое скрытное вредоносное ПО дляLinuxпод названием Shikitega, которое нацелено на компьютеры и IoT - устройства и использует уязвимости повышения привилегий, чтобы запустить майнер криптовалюты Monero на зараженном устройстве. Shikitega может уклоняться от антивирусного ПО с помощью полиморфного кодировщика, который делает невозможным статическое обнаружение на основе сигнатур. Согласно отчету AT&T, вредоносное ПО использует многоступенчатую цепочку заражения, в которой каждый уровень доставляет всего несколько сотен байтов, активируя простой модуль, а затем переходит к следующему. То есть Shikitega постепенно доставляет свою полезную нагрузку, при этом каждый шаг раскрывает только часть общей полезной нагрузки, поясняет Securitylab. Заражение начинается с ELF-файла размером 370 байт, содержащий закодированный шелл-код. Кодирование выполняется с использованием схемы кодирования полезной нагрузкиShikata Ga Nai. Используя кодировщик, вредоносное ПО проходит через несколько циклов декодирования, где один цикл декодирует следующий уровень, пока не будет декодирована и выполнена окончательная полезная нагрузка шелл-кода. После завершения расшифровки выполняется шелл-код, который связывается с C&C-сервером и получает дополнительные команды, хранящиеся и запускаемые непосредственно из памяти. Одна команда загружает и выполняетMettle, небольшую портативную полезную нагрузку Metasploit Meterpreter, которая дает хакеру дополнительные возможности удаленного управления и выполнения кода на хосте. Mettle извлекает еще меньший ELF-файл, который используетCVE-2021-4034(PwnKit) иCVE-2021-3493для повышения привилегий до root-пользователя и загрузки криптомайнера. Постоянство для криптомайнера достигается путем удаления всех загруженных файлов, чтобы снизить вероятность обнаружения. Также для избежания обнаружения операторы Shikitega используют законные облачные службы хостинга для размещения своей C&C-инфраструктуры. Это подвергает операторов риску быть обнаруженными правоохранительными органами, но обеспечивает лучшую скрытность в скомпрометированных системах. Команда AT&T порекомендовала администраторам применять доступные обновления безопасности, использовать EDR на всех конечных точках и регулярно делать резервные копии наиболее важных данных.