Репозитории PRoot помогают хакерам забыть о различиях Linux-устройств
Главная » Новости

Репозитории PRoot помогают хакерам забыть о различиях Linux-устройств

Татьяна Никитина 06 Декабря 2022 - 20:55
...
Репозитории PRoot помогают хакерам забыть о различиях Linux-устройств

Исследователи из Sysdig обнаружили атаки, в ходе которых в Linux загружались opensource-утилита PRoot и набор инструментов в виде файловой системы. Подобная техника постэксплуатации, по словам аналитиков, позволяет взломщикам использовать свой тулкит, не заботясь о совместимости с программными и аппаратными средствами жертвы.

Обычно масштабы Linux-атак ограничены из-за различий в настройке дистрибутивов — Ubuntu, Fedora, aAlpine. Утилита PRoot, обеспечивающая поддержку виртуализации файловой системы, позволяет получить рабочую среду, на которую не влияет конфигурация ОС. Более того, этот инструмент предоставляет возможность эмуляции, поэтому зависимость от архитектуры CPU тоже отпадает.

Хакеров PRoot, видимо, привлек тем, что его использование позволяет сэкономить усилия по разведке окружения после взлома и по адаптации вредоносных программ к новой среде исполнения. Авторы хакерских атак приходят, принося с собой собственную файловую систему (BYOF, bring your own filesystem, как назвали эту технику в Sysdig).

Злоумышленники заранее создают файловую систему на своем устройстве, включая в нее стандартный набор инструментов атаки, необходимые зависимости и настройки. Вредоносный репозиторий затем загружается в виде tar-файла в облачное хранилище вроде DropBox, а в нужный момент достается и распаковывается на машине жертвы (в папку /tmp/Proot/, могут быть другие варианты).

Смонтированная по месту новая корневая файловая система Linux расценивается как гостевая — она изолирована, пригодна для выполнения кастомных заданий, однако программы в ее составе могут использовать ресурсы хост-системы, а возможность QEMU-эмуляции позволяет исполнять программы, заточенные под разные архитектуры.

В зафиксированных атаках злоумышленники пользовали тулкит, состоящий из сканера (masscan или nmap), криптомайнера XMRig и конфигурационных файлов. Полезную нагрузку могут в одночасье заменить более опасной, поэтому потенциальным жертвам следует быть начеку и постараться снизить риск эксплойта.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Positive Technologies запустила антивирусную лабораторию
Новость
Positive Technologies запустила антивирусную лабораторию
Google срочно обновляет Chrome — в деле новая опасная 0-day
Новость
Google срочно обновляет Chrome — в деле новая опасная 0-day
Число «зондирующих» DDoS-атак в России выросло в 10 000 раз
Новость
Число «зондирующих» DDoS-атак в России выросло в 10 000 раз

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.