Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Malware Perfectl

Malware Perfectl

Nga MezoMalware
Përkthe në:
Shqip

Një lloj softueri kërcënues ka infektuar mijëra sisteme të bazuara në Linux. Ai shquhet për qasjen e tij të fshehtë, gamën e gjerë të konfigurimeve të gabuara që mund të shfrytëzojë dhe gamën e gjerë të veprimeve të dëmshme që mund të kryejë.

I zbuluar për herë të parë në vitin 2021, ky kërcënim përdor mbi 20,000 keqkonfigurime të gjetura zakonisht për të depërtuar në sisteme, duke paraqitur rrezik për miliona pajisje të lidhura me internetin. Për më tepër, ai përfiton nga CVE-2023-33426, një cenueshmëri kritike me një rezultat maksimal të ashpërsisë prej 10 që u rregullua vitin e kaluar në Apache RocketMQ, një platformë mesazhesh dhe transmetimi që përdoret gjerësisht në sistemet Linux.

Malware Perfctl është i pajisur me një gamë të gjerë aftësish keqdashëse

Perfctl e merr emrin nga një komponent keqdashës që minon fshehurazi kriptomonedhën. Zhvilluesit, identitetet e të cilëve mbeten të panjohur, kombinuan emrin e mjetit të monitorimit të performancës Linux 'perf' me 'ctl', një shkurtim i zakonshëm në shërbimet e linjës së komandës. Një tipar i dukshëm i Perfctl është përdorimi i emrave të proceseve dhe skedarëve që ngjajnë shumë me ato që gjenden zakonisht në mjediset Linux, duke e lejuar atë të shmangë zbulimin nga përdoruesit e prekur.

Për të fshehur më tej praninë e tij, Perfctl përdor taktika të ndryshme vjedhjeje. Midis tyre është instalimi i shumë komponentëve si rootkits, një kategori specifike malware e krijuar për t'u fshehur nga sistemi operativ dhe mjetet administrative. Strategjitë shtesë të evazionit përfshijnë:

  • Ndalimi i aktiviteteve lehtësisht të zbulueshme me hyrjet e përdoruesve të rinj
  • Përdorimi i një fole Unix mbi TOR për komunikim të jashtëm
  • Fshirja e binarit të instalimit të tij pas ekzekutimit dhe më pas ekzekutimi si shërbim sfondi
  • Manipulimi i procesit Linux pcap_loop duke përdorur një teknikë të njohur si hooking për të parandaluar që mjetet administrative të regjistrojnë trafikun me qëllim të keq
  • Duke shtypur gabimet e mesazheve për të shmangur sinjalizimet e dukshme gjatë ekzekutimit.

Perfctl është projektuar për qëndrueshmëri, duke e lejuar atë të qëndrojë në makinat e infektuara edhe pas rindezjes ose përpjekjeve për të eliminuar komponentët bazë. Ai e arrin këtë nëpërmjet teknikave të tilla si modifikimi i skriptit ~/.profile, i cili inicializon mjedisin gjatë identifikimit të përdoruesit, duke mundësuar që malware të ngarkohet përpara proceseve legjitime të serverit. Ai gjithashtu kopjon veten në shumë vende të diskut nga memoria. Lidhja e pcap_loop rrit më tej qëndrueshmërinë duke lejuar që aktivitetet e pasigurta të vazhdojnë edhe pasi ngarkesat kryesore të jenë zbuluar dhe hequr.

Përveç përdorimit të burimeve të sistemit për të minuar kriptomonedhën, Perfctl e transformon makinën e infektuar në një përfaqësues që gjeneron fitime, duke lejuar klientët që paguajnë të transmetojnë trafikun e tyre të internetit. Studiuesit e sigurisë kibernetike kanë vërejtur gjithashtu se malware funksionon si një derë e pasme për instalimin e familjeve të tjera të malware.

Rrjedha e sulmit të infeksionit Perfctl Malware

Pasi përfiton nga një dobësi ose konfigurim i gabuar, kodi i shfrytëzimit shkarkon ngarkesën kryesore nga një server i komprometuar, i cili është kthyer në një kanal shpërndarjeje anonim për malware. Në sulmin e ekzaminuar, ngarkesa u emërua httpd. Pas ekzekutimit, skedari përsëritet nga memoria në një vend të ri në drejtorinë /temp, ekzekuton versionin e kopjuar, përfundon procesin origjinal dhe fshin binarin e shkarkuar.

Pasi të zhvendoset në drejtorinë /tmp, skedari ekzekutohet me një emër tjetër që imiton një proces të njohur Linux, i quajtur specifikisht sh në këtë rast. Më pas, ai vendos një proces lokal të komandës dhe kontrollit (C2). Ai kërkon të fitojë privilegje të sistemit rrënjë duke shfrytëzuar CVE-2021-4043, një cenueshmëri e përshkallëzimit të privilegjeve që u rregullua në vitin 2021 brenda Gpac, një kornizë popullore multimediale me burim të hapur.

Malware më pas kopjon veten nga memoria në disa vendndodhje të tjera të diskut, duke përdorur edhe një herë emra që ngjajnë me skedarët rutinë të sistemit. Ai gjithashtu vendos një rootkit së bashku me një grup të shërbimeve Linux të përdorura zakonisht që janë ndryshuar për të funksionuar si rootkits, së bashku me komponentin e minierave. Në disa raste, malware instalon softuer për "proxy-jacking", i cili i referohet rrugëtimit të fshehtë të trafikut përmes makinës së infektuar, duke fshehur origjinën e vërtetë të të dhënave.

Si pjesë e operacioneve të tij C2, malware hap një fole Unix, krijon dy drejtori brenda drejtorisë /tmp dhe ruan të dhënat operacionale atje. Këto të dhëna përfshijnë ngjarjet e hostit, vendndodhjet e kopjeve të tij, emrat e proceseve, regjistrat e komunikimit, shenjat dhe informacione shtesë të regjistrit. Për më tepër, ai përdor variabla të mjedisit për të ruajtur të dhënat që ndikojnë në ekzekutimin dhe sjelljen e tij.

Të gjithë binarët janë të paketuar, të zhveshur dhe të koduar, duke demonstruar një përkushtim solid për shmangien e masave të sigurisë dhe ndërlikimin e përpjekjeve të inxhinierisë së kundërt. Malware përdor taktika të avancuara evazioni, të tilla si ndalimi i aktiviteteve të tij kur zbulon një përdorues të ri në skedarët btmp ose utmp dhe përfundimin e çdo malware konkurrues për të ruajtur dominimin mbi sistemin e infektuar.

Perfctl vë në rrezik dhjetëra mijëra pajisje

Duke analizuar të dhënat për numrin e serverëve Linux të lidhur në internet nëpër shërbime dhe aplikacione të ndryshme, studiuesit vlerësojnë se mijëra makina janë të infektuara me Perfctl. Gjetjet e tyre tregojnë se grupi i makinerive të cenueshme - ato që nuk e kanë aplikuar ende patch-in për CVE-2023-33426 ose kanë konfigurime të gabuara - arrin në miliona. Megjithatë, studiuesit nuk e kanë vlerësuar ende sasinë totale të kriptomonedhës së gjeneruar nga minatorët e dëmshëm.

Për të kontrolluar nëse pajisja e tyre është shënjestruar ose infektuar nga Perfctl, përdoruesit duhet të kërkojnë treguesit e identifikuar të kompromisit. Për më tepër, ata duhet të jenë vigjilentë ndaj rritjeve të pazakonta në përdorimin e CPU-së ose ngadalësimeve të papritura të sistemit, veçanërisht gjatë periudhave të papunësisë.

Në trend

Më e shikuara

Po ngarkohet...