HiddenWasp malver napada Linux sisteme

Napredni Linux malver izbegava AV detekciju.

HiddenWasp malver napada Linux sisteme

Otkriven je napredni Linux malver koji zaobilazi detekciju AV proizvoda i koji se aktivno koristi u ciljanim napadima. Iza malvera najverovatnije stoje kineski hakeri.

HiddenWasp sadrži trojanac, rootkit i skriptu za inicijalni deployment. Prema podacima VirusTotal sajta, AV vendori u početku uopšte nisu detektovali ovaj malver. Malver je napravljen prošlog meseca, a C&C server koji je zarazio računare je još uvek operativan.

Analiza koda je pokazala da su Linux računari zaraženi HiddenWasp malverom već bili kompromitovani (u pitanju su isti napadači), što znači da je ovo malver druge faze koji se isporučuje ciljano žrtvama čiji je sistem od ranije kompromitovan malverom prve faze.

Još uvek se ne zna broj zaraženih računara niti način na koji su prvobitno inficirani. HiddenWasp može da preuzima i izvršava kod, uploaduje fajlove i obavlja čitav niz drugih komandi, a najverovatnije je napravljen kako bi se daljinski kontrolisali zaraženi računari. Po tome se ovaj malver razlikuje od većine Linux malvera kojima je cilj ili da izvrše DDoS napade ili da rudare kripto valute.

Deo koda je pozajmljen od Mirai botneta, a postoje sličnosti i sa Azazel rootkit kodom, ChinaZ Elknot malverom i nedavno otkrivenom varijantom Winnti malvera za Linux.

Prevencija

Potrebno je blokirati C&C IP adrese koje, zajedno sa indikatorima kompromitacije, možete pronaći ovde.

Izvor: Ars technica