Полиморфик Shikitega проникает в Linux малыми дозами и открывает бэкдор

Татьяна Никитина 07 Сентября 2022 - 19:02

...

Полиморфик Shikitega проникает в Linux малыми дозами и открывает бэкдор

Специалисты AT&T обнаружили нового, очень скрытного Linux-зловреда, позволяющего через эксплойт повысить привилегии и захватить контроль над конечным или IoT-устройством. В настоящее время Shikitega нацелен на установку майнера монеро, однако его можно с легкостью приспособить для доставки и более опасного пейлоада.

Каким образом вредонос попадает в системы, пока не установлено. Анализ кода выявил многоступенчатую цепочку заражения (по несколько сотен байт за шаг) и другие результаты усилий авторов Shikitega, стремившихся уберечь свое детище от обнаружения.

Так, для обхода антивирусов в нем используется схема кодирования полезной нагрузки Shikata Ga Nai. Эта техника из арсенала Metasploit обеспечивает полиморфизм, позволяя защитить код от статического анализа на основе сигнатур.

Заражение начинается с небольшого, весом 370 байт, ELF-файла — дроппера с шелл-кодом, контрольная сумма которого постоянно меняется. Используя кодировщик, зловред слой за слоем расшифровывает полезную нагрузку; составной итог запускается на исполнение, в ходе которого устанавливается связь с C2-сервером.

При подключении тот отдает дополнительный шелл-код, который сохраняется и запускается в памяти зараженного устройства. Одна из этих команд загружает и активирует Mettle — облегченный вариант бэкдора Meterpreter, позволяющий расширить возможности удаленного контроля и выполнения кода.

Этот модуль, в свою очередь, загружает другой крохотный ELF-файл, который обеспечивает эксплойт CVE-2021-4034 (кодовое имя PwnKit) и CVE-2021-3493 для повышения привилегий и доставки финальной полезной нагрузки — XMRig 6.17.0. Чтобы обеспечить криптомайнеру постоянное присутствие, в систему загружаются шелл-скрипты, добавляющие задания cron: два для текущего пользователя, два для root. В результате все загруженные файлы стираются, что тоже снижает риск обнаружения вредоносной программы.

Командная инфраструктура Shikitega размещена на легитимном облачном хостинге. Это стоит дороже и облегчает идентификацию авторов атак, если те попадут в поле зрения правоохраны, но помогает скрыть факты взлома и заражения.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Апреля 2026 - 20:00

Корпорации VK Tech

VK Tech запускает отдельное ИИ-направление для корпоративных клиентов

VK Tech выделяет отдельное направление, связанное с искусственным интеллектом для корпоративных заказчиков. Компания собирается развивать решения для внедрения ИИ в защищённой инфраструктуре организаций — от вычислительных мощностей и хранения данных до прикладных сервисов.

Как следует из сообщения компании, среди ключевых задач нового направления — создание корпоративной ИИ-платформы, а также усиление ИИ-функциональности в существующих продуктах VK Tech. Для этого планируется использовать и собственные разработки VK, включая языковую модель Diona.

Руководить ИИ-направлением будет Роман Стятюгин, который ранее возглавлял команду аналитических сервисов VK Predict.

В VK Tech отмечают, что корпоративный рынок ИИ постепенно уходит от стадии экспериментов. Если раньше компании чаще тестировали отдельные инструменты или точечные сценарии, то теперь всё чаще рассматривают ИИ как полноценную технологию для перестройки бизнес-процессов и повышения эффективности.

При этом один из главных вопросов для корпоративного сегмента — безопасность. Именно поэтому, как считают в компании, растёт спрос на внедрение ИИ не в публичной среде, а внутри защищённого контура организаций, где можно контролировать данные и доступ к ним.

По сути, VK Tech делает ставку на то, что бизнесу нужны не разрозненные ИИ-сервисы, а более цельная инфраструктура, которую можно встроить в существующие процессы компании и использовать в более предсказуемом режиме.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!