Linux-бэкдор HiddenWasp использует код других зловредов

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 1 Jun 2019.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    2,577
    Likes Received:
    3,511
    Reputations:
    693
    Эксперты Intezer обнаружили ранее неизвестный вредоносный инструмент, включающий в себя руткит уровня пользователя, троян и установочный скрипт. По мнению экспертов, авторы комплекта, получившего название HiddenWasp, использовали части кода других зловредов, чтобы получить необходимый набор функций. Новый штамм плохо детектируется антивирусными системами и, скорее всего, используется в целевых атаках как полезная нагрузка второго уровня на уже скомпрометированных Linux-машинах.

    Исследователи не смогли определить механизм заражения, который используют создатели зловреда. Известно, что на целевом хосте разворачивается дроппер, который создает аккаунт пользователя с заранее заданными логином и паролем, а также обращается к файловому серверу для доставки других модулей комплекта. Специалисты отмечают азиатские корни вредоносной программы — она использует хранилище в Гонконге, а названия некоторых файлов указывают на китайскую компанию, оказывающую услуги по криминалистической экспертизе.

    В отличие от других подобных разработок, HiddenWasp не ориентирован на DDoS-атаки или загрузку майнеров криптовалюты. По мнению ИБ-специалистов, этот инструмент предназначен для перехвата управления скомпрометированной машиной. Совместная работа трояна и руткита дает нападающим возможность скрытно загружать на зараженный компьютер файлы, копировать содержимое дисков, запускать программы и принудительно завершать активные процессы в зараженной системе.

    Аналитики отмечают, что в коде HiddenWasp найдены фрагменты, позаимствованные у других зловредов. Так, некоторые переменные окружения указывают на родство с opensource-руткитом Azazel, алгоритм расшифровки строк, необходимых для работы руткита, — на связь с Mirai, а отдельные хэши MD5 совпадают с секретными последовательностями, включенными в имплант Elknot. Состав чужих компонентов также позволяет судить о происхождении комплекта — большая часть из них связана с китайскими преступными группировками.

    По своей структуре вредоносный пакет более всего напоминает Linux-вариант трояна Winnti, первые атаки которого датируются 2015 годом. В нем, так же как и в HiddenWasp, отдельный модуль отвечает за маскировку вредоносных действий в системе, а другой обеспечивает бэкдор.

    31.05.2019
    https://threatpost.ru/linux-malware-hiddenwasp-used-code-of-other-programs/32881/
     
    CKAP, DartPhoenix and seostock like this.
Loading...