I ricercatori di sicurezza hanno dettagliato la scoperta di un nuovo, campione di malware non rilevato in precedenza progettato specificamente per l'ambiente Linux. Il malware mette in mostra capacità sofisticate ed è “un intricato framework sviluppato per prendere di mira i sistemi Linux,I ricercatori di Intezer hanno affermato nella loro analisi tecnica.
Panoramica tecnica sul malware per Linux di Lightning Framework
“Lightning è un framework modulare che abbiamo scoperto che ha una pletora di capacità, e la possibilità di installare più tipi di rootkit, così come la capacità di eseguire plugin,” ha spiegato il rapporto. Per fortuna, finora non ci sono state indicazioni che il malware venga utilizzato in natura.
Cosa hanno scoperto i ricercatori sulla struttura di Lightning Framework?
Lightning.Downloader
Il framework è costituito da un downloader e un modulo principale, con una serie di plugin, alcuni dei quali open source. La funzione principale di Lightning.Downloader è recuperare gli altri componenti ed eseguire il modulo principale.
È interessante notare che il framework fa molto affidamento sul typosquatting (noto anche come URL highjacking) e mascherarsi per rimanere inosservati su sistemi Linux compromessi. Il downloader è impostato per eseguire l'impronta digitale del nome host e delle schede di rete per generare un GUID (identificatore univoco globale), che verrà inviato al server di comando e controllo.
La comunicazione con il server di comando e controllo viene eseguita per recuperare i seguenti plug-in e moduli:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Fulmine.Nucleo
Fulmine.Nucleo
Il modulo centrale, che è il modulo principale del framework, può ricevere comandi dal server di comando e controllo per eseguire i moduli plugin sopra elencati. Non sorprende, il modulo ha molteplici capacità e utilizza numerose tecniche per nascondere gli artefatti e rimanere in esecuzione inosservato.
Altri dettagli
La comunicazione di rete nei moduli Core e Downloader avviene su socket TCP. I dati sono strutturati in JSON, e il server di comando e controllo è archiviato in un file di configurazione codificato polimorfico unico per ogni singola creazione. “Ciò significa che i file di configurazione non potranno essere rilevati tramite tecniche come gli hash. La chiave è incorporata all'inizio del file codificato,”i ricercatori aggiunto.
Un altro esempio di un nuovo malware Linux è il malware Symbiote. Scoperto dai ricercatori di Blackberry, il malware è progettato per infettare tutti i processi in esecuzione sulle macchine infette, ed è in grado di rubare le credenziali dell'account e fornire accesso backdoor ai suoi operatori.
Il primo rilevamento è avvenuto a novembre 2021, quando è stato scoperto in attacchi contro organizzazioni finanziarie in America Latina. Il malware è in grado di nascondersi dopo l'infezione, rendendolo molto difficile da rilevare.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: