Phần mềm độc hại mới “sedexp” trên hệ điều hành Linux: Nguy cơ mất dữ liệu và truy cập từ xa

sedexp

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại phần mềm độc hại Linux mới sử dụng một kỹ thuật độc đáo để tồn tại lâu dài trên các hệ thống bị nhiễm và ẩn mã đánh cắp thông tin thẻ tín dụng.

Phần mềm độc hại này, được cho là do một tác nhân đe dọa có động cơ tài chính gây ra, được nhóm dịch vụ ứng phó sự cố Stroz Friedberg của Aon đặt tên mã là sedexp .

Các nhà nghiên cứu Zachary Reichert, Daniel Stein và Joshua Pivirotto cho biết : “Mối đe dọa tiên tiến này hoạt động từ năm 2022, ẩn náu ngay trước mắt nhưng vẫn cung cấp cho kẻ tấn công khả năng tấn công ngược và chiến thuật che giấu tiên tiến”.

Không có gì ngạc nhiên khi những kẻ xấu liên tục cải tiến và tinh chỉnh thủ đoạn của chúng, đồng thời chuyển sang các kỹ thuật mới để tránh bị phát hiện.

Điều khiến sedexp đáng chú ý là việc sử dụng các quy tắc udev để duy trì tính bền bỉ. Udev, thay thế cho Hệ thống tệp thiết bị, cung cấp cơ chế để xác định thiết bị dựa trên các thuộc tính của chúng và cấu hình các quy tắc để phản hồi khi có sự thay đổi về trạng thái thiết bị, tức là thiết bị được cắm vào hoặc tháo ra.

Mỗi dòng trong tệp quy tắc udev có ít nhất một cặp khóa-giá trị, giúp có thể khớp thiết bị theo tên và kích hoạt các hành động nhất định khi phát hiện nhiều sự kiện thiết bị khác nhau (ví dụ: kích hoạt sao lưu tự động khi ổ đĩa ngoài được kết nối).

“Một quy tắc khớp có thể chỉ định tên của nút thiết bị, thêm các liên kết tượng trưng trỏ đến nút hoặc chạy một chương trình được chỉ định như một phần của việc xử lý sự kiện”, SUSE Linux lưu ý trong tài liệu của mình. “Nếu không tìm thấy quy tắc khớp nào, tên nút thiết bị mặc định sẽ được sử dụng để tạo nút thiết bị”.

Quy tắc udev cho sedexp — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — được thiết lập sao cho phần mềm độc hại được chạy bất cứ khi nào /dev/random (tương ứng với thiết bị phụ số 8 ) được tải, thường xảy ra sau mỗi lần khởi động lại.

Nói cách khác, chương trình được chỉ định trong tham số RUN sẽ được thực thi mỗi lần sau khi hệ thống khởi động lại.

Phần mềm độc hại này có khả năng khởi chạy một shell ngược để tạo điều kiện truy cập từ xa vào máy chủ bị xâm phạm, cũng như sửa đổi bộ nhớ để ẩn bất kỳ tệp nào có chứa chuỗi “sedexp” khỏi các lệnh như ls hoặc find.

Stroz Friedberg cho biết trong những trường hợp mà họ điều tra, khả năng này đã được sử dụng để ẩn các shell web, các tệp cấu hình Apache đã thay đổi và chính quy tắc udev.

“Phần mềm độc hại được sử dụng để ẩn mã thu thập thông tin thẻ tín dụng trên máy chủ web, cho thấy mục đích là để kiếm lợi nhuận tài chính”, các nhà nghiên cứu cho biết. “Việc phát hiện ra sedexp cho thấy sự tinh vi ngày càng tăng của các tác nhân đe dọa có động cơ tài chính ngoài ransomware”.

Nguồn: The hacker news