Proteção de Dados – Novo Malware HiddenWasp tem como alvo Sistemas Linux.

Netranet

4 anos atrás

Blog Netrantet Networking | Proteção de Dados – Novo malware HiddenWasp tem como alvo sistemas Linux.

Proteção de Dados – Pesquisadores de segurança descobriram uma nova linhagem de malware Linux que parece ter sido criada por hackers chineses e tem sido usada como meio de controlar remotamente os sistemas infectados.

Chamado HiddenWasp, esse malware é composto de um rootkit de modo de usuário, um trojan e um script de implantação inicial.

O malware tem uma estrutura semelhante à outra variedade de malware Linux recém-descoberta – a versão Linux do Winnti, uma ferramenta de hacking famosa usada por hackers chineses.

Código copiado?

Em um relatório técnico publicado recentemente, Nacho Sanmillan, pesquisador de segurança da Intezer Labs, destaca várias conexões e semelhanças que o HiddenWasp compartilha com outras famílias de malware do Linux, sugerindo que parte do código HiddenWasp pode ter sido emprestado.

“Encontramos algumas das variáveis de ambiente usadas em um rootkit de código aberto conhecido como Azazel“, disse Sanmillan.

“Além disso, também vemos uma alta taxa de strings compartilhadas com outros malwares conhecidos da ChinaZ, reforçando a possibilidade de que os atores por trás do HiddenWasp possam ter integrado e modificado algumas implementações MD5 do [malware] Elknot que poderiam ter sido compartilhadas em hackers chineses. fóruns“, acrescentou o pesquisador.

Além disso, a Sanmillan também encontrou conexões entre o HiddenWasp e um rootkit chinês de código aberto para Linux, conhecido como Adore-ng, e até mesmo a reutilização de código com o malware Mirai IoT.

Mas, embora o HiddenWasp possa não ser a primeira cepa de malware reunida por meio de códigos de outros projetos, o pesquisador encontrou outras pistas interessantes sugerindo que o malware poderia ter sido criado e operado fora da China.

“Observamos que os arquivos [HiddenWasp] foram enviados para o VirusTotal usando um caminho contendo o nome de uma empresa forense chinesa conhecida como Shen Zhou Wang Yun Information Technology Co., Ltd.“, disse a Sanmillan.

“Além disso, os implantes de malware parecem estar hospedados em servidores de uma empresa de hospedagem de servidores físicos conhecida como ThinkDream localizada em Hong Kong“, disse ele.

Blog Netranet Networking | Segurança da Informação – Sophos XG Firewall. Conheça a melhor proteção do Firewall do mundo.

HiddenWasp usado como uma carga útil de segundo estágio

Falando para a ZDNet , Sanmillan disse que não foi capaz de descobrir como os hackers estão espalhando essa nova cepa de malware, embora o pesquisador tenha seus próprios pensamentos sobre o assunto.

“Infelizmente, eu não sei qual é o vetor de infecção inicial”, disse Sanmillan.“Com base em nossa pesquisa, parece mais provável que esse malware tenha sido usado em sistemas comprometidos já controlados pelo invasor”.

Os hackers parecem comprometer os sistemas Linux usando outros métodos e, em seguida, implantam o HiddenWasp como uma carga útil de segundo estágio, que eles usam para controlar sistemas já infectados remotamente.

De acordo com a Sanmillan, o HiddenWasp pode interagir com o sistema de arquivos local; carregar, baixar e executar arquivos; executar comandos do terminal; e mais.
“De nossa pesquisa, parece um implante de um ataque direcionado“, disse Sanmilan à ZDNet . “É difícil dizer se ele é usado por um atacante patrocinado pela nação ou por outra pessoa, mas definitivamente não é o malware DDOS / mineração usual para obter lucros rápidos.“

Por enquanto, ainda permanece o mistério sobre quem desenvolveu essa ferramenta e em quais ataques ela foi implantada. A Sanmillan publicou indicadores de comprometimento (IOCs) e regras YARA que as empresas podem usar para verificar e detectar qualquer infecção com o HiddenWasp.

Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.