В современном мире облачные технологии занимают центральное место в инфраструктуре многих организаций, однако вместе с этим растут и киберугрозы, направленные на их подрыв. Недавний отчет экспертов Unit 42 выявил тревожную тенденцию – активное использование вредоносных программ на базе ELF-файлов, которые ориентированы на платформы Linux и применяются хакерами для атак на облачные среды.
NoodleRAT: уникальный бэкдор с версиями для Windows и Linux
Особое внимание исследователей привлек _NoodleRAT_ — бэкдор, имеющий варианты для обеих самых популярных операционных систем: Windows и Linux. Его Linux-версия основана на ELF и выделяется среди других похожих вредоносных программ, таких как Rekoobe и Tiny SHell. Несмотря на схожие методы работы, NoodleRAT классифицируется как отдельное семейство вредоносных ПО.
Linux-версия NoodleRAT связана с китайскими кибератакующими группировками, включая Starchy Taurus (также известную как Winnti Group и BARIUM) и Nuclear Taurus. Вредоносная программа состоит из двух ключевых компонентов:
- основной исполняемый файл ELF — libxselinux;
- динамическая библиотека — libxselinux.so.
Облачные атаки с использованием ELF-файлов: пять ключевых семейств вредоносного ПО
Эксперты Unit 42 обозначили пять основных семейств вредоносных программ на базе ELF, значительно обновляемых и активно используемых для атак в облачных средах, где доминируют Linux-серверы. Рост угроз связан с тем, что злоумышленники, учитывая широкое распространение Linux в облачной инфраструктуре, получают удобные возможности для проникновения и удержания контроля.
Основные особенности таких вредоносных программ:
- использование динамического взлома компоновщика с помощью переменной среды LD_PRELOAD;
- внедрение вредоносного кода в легитимные процессы для получения критически важного доступа;
- установление и поддержка скрытых каналов управления (C2) и стойкости в системе;
- функции эксфильтрации данных и/или их уничтожения.
Другие представители вредоносных семейств ELF и их особенности
Среди остальных известных образцов выделяются:
- SSHdInjector — ориентирован на SSH-демон, обеспечивает перманентный доступ и связан с продвинутыми угрозами (APT), занимающимися кибершпионажем;
- Pygmy Goat — руткит, использующий уязвимости, например, CVE-2022-1040, для контроля SSH-коммуникаций. Его связь осуществляется с помощью специализированных ICMP-пакетов, что позволяет работать в режиме скрытого канала;
- AcidRain и производная от него AcidPour — вредоносные программы типа wiper, нацеленные на уничтожение данных. AcidRain атакует устройства на архитектуре MIPS, в то время как AcidPour работает с x86-системами, включая облачные среды. После атаки эти инструменты могут выполнять самоуничтожение, что затрудняет расследование и восстановление.
Заключение
Эволюция вредоносного ПО на базе ELF-файлов создает новые уникальные вызовы для кибербезопасности облачных инфраструктур. Такие вредоносные программы, как NoodleRAT, SSHdInjector и AcidRain, демонстрируют высокий уровень адаптивности и технического совершенства, что позволяет злоумышленникам эффективно эксплуатировать популярные сервисы Linux, предоставляющие удаленный доступ и управление.
С учетом значимости облачных технологий и распространенности Linux в данной среде, организациям следует уделять особое внимание мониторингу и защите от подобных угроз. Повышение осведомленности, внедрение современных методов обнаружения и оперативный реагирования — ключевые меры для минимизации рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция ELF-вредоносных программ в облаках: угрозы и методы атак".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.