Detección de Malware Shikitega: Ejecuta Cadena de Infección Multietapa, Otorga Control Total
Tabla de contenidos:
Un nuevo malware sigiloso de Linux llamado Shikitega está al acecho de sus víctimas. Sus operadores han establecido ataques altamente evasivos, dirigidos a dispositivos Linux e IoT. El análisis del malware Shikitega muestra que los adversarios han adoptado una cadena de infección en múltiples etapas, con el objetivo de lograr el control total del sistema comprometido, explotar vulnerabilidades, establecer persistencia y dejar cargas útiles adicionales, incluyendo un minero de Monero.
Este ataque refleja la creciente cantidad de ataques recientes a dispositivos Linux, sumando a una lista de amenazas que crece rápidamente, tales como Syslogk, XorDdos, y BPFDoor.
Detectar Malware Shikitega
Para ayudar a los profesionales de la seguridad a detectar posibles ataques con el nuevo malware de Linux, Sittikorn Sangrattanapitak ha publicado una regla que detecta la ejecución del script Shikitega:
Posible Malware Sigiloso Shikitega Dirigido a Sistemas Linux (mediante creación de procesos)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, y AWS OpenSearch.
La regla está alineada con el marco MITRE ATT&CK® v.10, abordando las tácticas de Evasión de Defensa y Ejecución con Archivos o Información Ofuscados (T1027) y Servicios del Sistema (T1569) como técnicas principales.
SOC Prime ha revolucionado la forma en que los equipos de seguridad acceden al contenido de detección de amenazas. Aprovechamos el poder de la defensa cibernética colaborativa, trabajando arduamente hacia la facilitación de un «Ciber OTAN» transfronterizo para resistir eficazmente las amenazas emergentes. Haga clic en el botón Explorar Detecciones a continuación para alcanzar instantáneamente detecciones dedicadas y sumergirse en contextos relevantes de amenazas cibernéticas sin registro directamente desde el Motor de Búsqueda de Amenazas Cibernéticas.
Análisis de Malware Shikitega
Investigadores de seguridad de AT&T Alien Labs documentaron la nueva cepa de malware a principios de septiembre. Aún no sabemos el vector de compromiso inicial empleado por los actores detrás del malware Shikitega. Una vez que la amenaza está en el sistema, obtiene cargas útiles maliciosas desde un servidor C2 y las ejecuta en memoria. El malware también despliega el meterpreter ‘Mettle’ de Metasploit en el sistema infectado para elevar privilegios y ejecutar una amplia gama de ataques. Shikitega emplea un codificador polimórfico para aumentar sus posibilidades de pasar desapercibido y evadir la detección por parte de soluciones antivirus.
Para la minería de criptomonedas, el malware Shikitega abusa de un minero legítimo XMRig . Para desplegarlo, el malware explota dos vulnerabilidades severas de Linux, CVE-2021-4034 y CVE-2021-3493.
Únase a la plataforma Detection as Code de SOC Prime para desbloquear el acceso a la mayor pila de contenido de detección creada por expertos reputados en el campo. Tenga la seguridad de que no se perderá ninguna actualización importante ya que nuestros expertos en SOC se esfuerzan por publicar todas las últimas detecciones, manteniendo una respuesta rápida a las amenazas más recientes.
