Logiciel malveillant Shikitega

Les cybercriminels utilisent une menace malveillante Linux sophistiquée nommée Shikitega pour prendre le contrôle des systèmes Linux et des appareils IoT (Internet des objets). Les attaquants tirent parti de leur accès aux appareils piratés pour fournir une menace de crypto-minage, mais l'accès étendu et les privilèges root obtenus permettent aux attaquants de pivoter facilement et d'effectuer des actions beaucoup plus destructrices et intrusives s'ils le souhaitent.

La menace est déployée sur les appareils ciblés via une chaîne d'infection complexe à plusieurs étapes composée de plusieurs composants de modules différents. Chaque module reçoit des instructions de la partie précédente de la charge utile Shikitega et termine ses actions en téléchargeant et en exécutant la partie suivante.

Le composant initial du compte-gouttes ne compte que quelques centaines d'octets, ce qui le rend assez insaisissable et difficile à détecter. Certains modules de la chaîne d'infection sont conçus pour exploiter les vulnérabilités de Linux afin d'assurer la persistance et d'établir un contrôle sur le système piraté. Selon un rapport des chercheurs en cybersécurité d'AT&T Alien Labs qui ont analysé la menace, Shikitega a abusé des vulnérabilités CVE-2021-3493 et CVE-2021-4034. Le premier est décrit comme un problème de validation dans le noyau Linux conduisant les attaquants à obtenir des privilèges élevés, tandis que le second est une vulnérabilité d'escalade de privilèges locale dans l'utilitaire pkexec de polkit. Grâce à ces vulnérabilités, la dernière partie du malware Shikitega est exécutée avec les privilèges root. Un autre détail important est que, dans le cadre de sa chaîne d'infection, la menace fournit également Mettle, un outil de sécurité offensif basé sur le kit de piratage Metasploit.

Les chercheurs en cybersécurité avertissent que certains éléments de l'attaque Shikitega, tels que certains des serveurs Command-and-Control (C2, C&C), sont hébergés sur des services Cloud légitimes. Shikitega utilise également un encodeur polymorphe pour rendre encore plus difficile la détection par les solutions anti-malware.