Des chercheurs en sécurité ont détaillé la découverte d'un nouveau, échantillon de logiciel malveillant précédemment non détecté spécialement conçu pour cibler l'environnement Linux. Le logiciel malveillant présente des capacités sophistiquées et est "un cadre complexe développé pour cibler les systèmes Linux,» Les chercheurs d'Intezer ont déclaré dans leur analyse technique.
Aperçu technique des logiciels malveillants Linux de Lightning Framework
"Lightning est un framework modulaire que nous avons découvert qui a une pléthore de capacités, et la possibilité d'installer plusieurs types de rootkit, ainsi que la possibilité d'exécuter des plugins," explique le rapport. Heureusement, jusqu'à présent, rien n'indique que le logiciel malveillant soit utilisé dans la nature.
Qu'ont découvert les chercheurs sur la structure de Lightning Framework?
Lightning.Downloader
Le framework se compose d'un téléchargeur et d'un module principal, avec un certain nombre de plugins, dont certains open-source. La fonction principale de Lightning.Downloader est de récupérer les autres composants et d'exécuter le module principal.
Il est à noter que le cadre s'appuie fortement sur le typosquattage (également connu sous le nom de détournement d'URL) et masquage pour ne pas être détecté sur les systèmes Linux compromis. Le téléchargeur est configuré pour identifier le nom d'hôte et les adaptateurs réseau pour générer un GUID (identifiant global unique), qui sera envoyé au serveur de commande et de contrôle.
La communication avec le serveur de commande et de contrôle se fait pour récupérer les plugins et modules suivants:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Foudre.Core
Foudre.Core
Le module de base, qui est le module principal du framework, peut recevoir des commandes du serveur de commande et de contrôle pour exécuter les modules de plugin listés ci-dessus. Sans surprise, le module a de multiples capacités et utilise de nombreuses techniques pour masquer les artefacts et continuer à fonctionner sans être détecté.
Autres détails
La communication réseau dans les modules Core et Downloader s'effectue via des sockets TCP. Les données sont structurées en JSON, et le serveur de commande et de contrôle est stocké dans un fichier de configuration codé polymorphe unique pour chaque création. "Cela signifie que les fichiers de configuration ne pourront pas être détectés par des techniques telles que les hachages. La clé est intégrée au début du fichier encodé," les chercheurs ajoutée.
Un autre exemple de nouveau malware Linux est le malware Symbiote. Découvert par des chercheurs Blackberry, le logiciel malveillant est conçu pour infecter tous les processus en cours d'exécution sur les machines infectées, et est capable de voler les identifiants de compte et de fournir un accès détourné à ses opérateurs.
La première détection a eu lieu en novembre 2021, lorsqu'il a été découvert lors d'attaques contre des organisations financières en Amérique latine. Le malware est capable de se cacher après l'infection, rendant très difficile la détection.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: