Détection du Malware Shikitega : Exécute une Chaîne d’Infection en Plusieurs Étapes, Octroie un Contrôle Total
Table des matières :
Un nouveau malware Linux furtif nommé Shikitega est à l’affût de ses victimes. Ses opérateurs mettent en place des attaques extrêmement évasives, ciblant les appareils Linux et IoT. L’analyse du malware Shikitega montre que les adversaires ont adopté une chaîne d’infection en plusieurs étapes, visant à prendre le contrôle total du système compromis, exploiter les vulnérabilités, établir une persistance et déposer des charges utiles supplémentaires, y compris un mineur Monero.
Cette attaque reflète la quantité croissante d’attaques récentes contre les appareils Linux, s’ajoutant à une liste de menaces en rapide expansion telles que Syslogk, XorDdos, et BPFDoor.
Détecter le Malware Shikitega
Pour assister les praticiens de la sécurité à identifier d’éventuelles attaques avec le nouveau malware Linux, Sittikorn Sangrattanapitak a publié une règle qui détecte l’exécution du script Shikitega :
Malware furtif potentiel Shikitega ciblant le système Linux (via la création de processus)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.
La règle est alignée avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’évasion de défense et d’exécution avec des fichiers ou des informations obfusqués (T1027) et les services système (T1569) comme techniques principales.
SOC Prime a révolutionné la façon dont les équipes de sécurité accèdent au contenu de détection des menaces. Nous exploitons la puissance de la cyberdéfense collaborative, travaillant dur pour faciliter un « Cyber OTAN » transfrontalier afin de résister efficacement aux menaces émergentes. Cliquez sur le bouton Explore Detections ci-dessous pour accéder instantanément à des détections dédiées et plonger dans des contextes pertinents de menaces cybernétiques sans inscription directement depuis le moteur de recherche Cyber Threats.
Analyse du Malware Shikitega
Les chercheurs en sécurité de AT&T Alien Labs ont documenté la nouvelle souche de malware au début de ce mois de septembre. Nous ne savons toujours pas quel vecteur de compromis initial est employé par les acteurs de la menace derrière le malware Shikitega. Une fois la menace dans le système, elle récupère des charges utiles malveillantes d’un serveur C2 et les exécute en mémoire. Le malware déploie également le meterpreter ‘Mettle’ de Metasploit sur le système infecté pour élever les privilèges et exécuter un large éventail d’attaques. Shikitega utilise un encodeur polymorphe pour augmenter ses chances de passer sous le radar en échappant à la détection par les solutions antivirus.
Pour l’exploitation minière de cryptomonnaie, le malware Shikitega abuse d’un mineur XMRig légitime. Pour le déployer, le malware exploite deux vulnérabilités Linux très graves, CVE-2021-4034 et CVE-2021-3493.
Rejoignez la plateforme Detection as Code de SOC Prime pour débloquer l’accès à la plus grande réserve mondiale de contenu de détection créé par des experts réputés du domaine. Soyez assuré que vous ne manquerez aucune mise à jour importante, car nos experts SOC s’efforcent de publier toutes les dernières détections, en maintenant une réponse rapide aux menaces les plus récentes.
