Rilevamento Malware Shikitega: Esegue Catena di Infezione Multistadio, Concede Controllo Completo
Indice:
Un nuovo malware Linux furtivo chiamato Shikitega è alla ricerca delle sue vittime. I suoi operatori hanno organizzato attacchi altamente evasivi, prendendo di mira dispositivi Linux e IoT. L’analisi del malware Shikitega mostra che gli avversari hanno adottato una catena d’infezione multi-stadio, con l’obiettivo di ottenere il controllo completo del sistema compromesso, sfruttare le vulnerabilità, stabilire la persistenza e scaricare payload aggiuntivi, inclusi un miner Monero.
Questo attacco rispecchia il crescente numero di attacchi recenti su dispositivi Linux, aggiungendosi a un elenco in rapida crescita di minacce come Syslogk, XorDdos, e BPFDoor.
Rilevare il Malware Shikitega
Per assistere i professionisti della sicurezza nel rilevare possibili attacchi con nuovo malware Linux, Sittikorn Sangrattanapitak ha rilasciato una regola che rileva l’esecuzione dello script Shikitega:
Possibile Malware Furtivo Shikitega Mirato al Sistema Linux (tramite creazione di processi)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
La regola è allineata con MITRE ATT&CK® framework v.10, affrontando le tattiche di Evasione della Difesa e Esecuzione con File o Informazioni Offuscati (T1027) e Servizi di Sistema (T1569) come tecniche principali.
SOC Prime ha rivoluzionato il modo in cui i team di sicurezza accedono ai contenuti di rilevamento delle minacce. Sfruttiamo il potere della difesa cibernetica collaborativa, lavorando duramente per facilitare un “Cyber NATO” transfrontaliero per resistere efficacemente alle minacce emergenti. Clicca sul pulsante Esplora Rilevamenti qui sotto per raggiungere istantaneamente rilevamenti dedicati e approfondire contesti di minacce cibernetiche rilevanti senza registrazione direttamente dal Motore di Ricerca delle Minacce Cibernetiche.
Analisi del Malware Shikitega
I ricercatori di sicurezza di AT&T Alien Labs hanno documentato il nuovo ceppo di malware all’inizio di settembre. Ancora non conosciamo il vettore di compromissione iniziale utilizzato dai cybercriminali dietro al malware Shikitega. Una volta che la minaccia è nel sistema, recupera i payload dannosi da un server C2 e li esegue in memoria. Il malware implementa anche il meterpreter ‘Mettle’ di Metasploit sul sistema infetto per elevare i privilegi ed eseguire una vasta gamma di attacchi. Shikitega impiega un codificatore polimorfico per aumentare le sue possibilità di restare inosservato eludendo le soluzioni antivirus.
Per il mining di criptovalute, il malware Shikitega sfrutta un legittimo miner XMRig. Per implementarlo, il malware sfrutta due gravi vulnerabilità di Linux, CVE-2021-4034 e CVE-2021-3493.
Unisciti alla piattaforma SOC Prime’s Detection as Code per sbloccare l’accesso al più grande pool di contenuti di rilevamento creato da esperti rinomati nel settore. Puoi essere certo di non perderti nessun aggiornamento importante poiché i nostri esperti SOC si sforzano di pubblicare tutti i rilevamenti più recenti, mantenendo una risposta rapida alle minacce più recenti.
