Beveiliging onderzoekers hebben een nieuwe stam van het Linux-malware die lijkt te zijn gemaakt door Chinese hackers en is gebruikt als een middel om op afstand controle over de geïnfecteerde systemen.
De naam HiddenWasp, deze malware is samengesteld uit een user-mode virus, een trojan, en een eerste implementatie script.
De malware heeft een structuur die vergelijkbaar is met een andere recent ontdekte Linux-malware stam — de Linux-versie van Winnti, een beroemde hacking tool die wordt gebruikt door de Chinese staat hackers.
Copy-paste werk? Chinese afkomst?
In een technisch rapport dat vandaag wordt gepubliceerd, Nacho Sanmillan, een security-onderzoeker bij Intezer Labs, wijst op meerdere verbindingen en overeenkomsten die HiddenWasp deelt met andere Linux-malware families, wat suggereert dat een deel van HiddenWasp code zou kunnen hebben geleend.
“We hebben een paar van de milieu-variabelen voor gebruik in een open-source-rootkit bekend als Azazel,” Sanmillan zei.
“Daarnaast zien we ook een hoge mate van gedeelde snaren met andere bekende ChinaZ malware, het versterken van de mogelijkheid dat de actoren achter HiddenWasp kan hebben geïntegreerd en wijziging van een aantal MD5 uitvoering van [de] Elknot [malware] dat zou hebben gedeeld in de Chinese hacken forums,” de onderzoeker toegevoegd.
Bovendien Sanmillan ook gevonden verbindingen tussen HiddenWasp en een Chinees-open-source-rootkit voor Linux bekend als Dol-ng, en zelfs sommige hergebruik van code met de Mirai IoT malware.
Maar terwijl HiddenWasp is misschien niet het eerste malware stam samengesteld door het nemen van code van andere projecten, de onderzoeker ontdekte andere interessante aanwijzingen die suggereren dat de malware zou zijn gemaakt en beheerd uit China.
“Wij hebben vastgesteld dat [de HiddenWasp] bestanden die zijn geüpload naar VirusTotal met behulp van een pad met de naam van een Chinese forensische bedrijf bekend als Shen Zhou Wang Yun Information Technology Co., Ltd.,” Sanmillan zei.
“Verder, de malware implantaten lijken te worden gehost op servers van een fysieke server hosting bedrijf dat bekend staat als ThinkDream gevestigd in Hong Kong,” zei hij.
HiddenWasp gebruikt als een tweede fase van de lading
Spreekt ZDNet, Sanmillan zei dat hij niet in staat om te ontdekken hoe hackers zijn het verspreiden van deze nieuwe malware stam, hoewel de onderzoeker had zijn eigen gedachten over de materie.
“Helaas, ik weet het niet wat is de initiële infectie vector,” Sanmillan ons verteld. “Op basis van ons onderzoek lijkt het meest waarschijnlijk dat deze malware werd gebruikt in gevaar gebrachte systemen reeds gecontroleerd door de aanvaller.”
Hackers lijken te compromis Linux systemen met behulp van andere methoden, en vervolgens te implementeren HiddenWasp als een tweede fase van de lading, die ze gebruiken om het reeds geïnfecteerde systemen op afstand.
Volgens Sanmillan, HiddenWasp de interactie met het lokale bestandssysteem; bestanden uploaden, downloaden en uitvoeren van bestanden; uitvoeren van terminal commando ‘ s en nog veel meer.
“Uit ons onderzoek, het ziet eruit als een implantaat van een gerichte aanval,” Sanmilan vertelde ZDNet. “Het is moeilijk te zeggen als het wordt gebruikt door [a] natie gesponsord door de aanvaller of van iemand anders, maar het is zeker niet de gebruikelijke DDOS – /mijnbouw malware voor snelle winst.”
Voor nu, het mysterie blijft nog over die ontwikkelde deze tool, en in wat aanvallen is dit geïmplementeerd. Sanmillan heeft gepubliceerd indicatoren van het compromis (IOCs) en YARA regels die bedrijven kunnen gebruiken om te scannen en opsporen van eventuele infecties met HiddenWasp.
Gerelateerde malware en cybercriminaliteit dekking:
Emotet domineert de kwaadaardige bedreiging landschap in 2019Ohio school stuurt studenten naar huis omdat van Trickbot malware infectionSecurity onderzoekers ontdekken Linux-versie van de Winnti malwareHackers scannen voor MySQL servers te implementeren GandCrab ransomwareGoogle onderzoek: de Meeste hacker-voor-het huren diensten zijn fraudsCompany achter LeakedSource pleit schuldig in CanadaThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters