Крайне интересный и уникальный вредоносный фреймворк для Linux обнаружили специалисты Intezer, который из-за своей модульной архитектуры и множества функций сравнили со швейцарским армейским ножом.
Речь идет о вредоносной среде Lightning Framework, которая позволяет злоумышленникам устанавливать руткиты на целевых системах. Причем из-за обилия функций специалисты назвали его одной из самых сложных сред, разработанных для систем Linux.
Фреймворк имеет как пассивные, так и активные возможности для обратной связи с злоумышленником и полиморфную гибкую конфигурацию C2.
О новой малвари для Linux подробно рассказал исследователь Райан Робинсон в своем отчете.
Центральным элементом вредоносной экосистемы является загрузчик kbioset и основной модуль kkdmflush, первый из которых предназначен для загрузки как минимум семи различных подключаемых модулей с удаленного сервера, которые после вызываются основным модулем.
Собственно основной модуль kkdmflush устанавливает связь с C2 для получения команд, необходимых для выполнения плагинов, а также старается скрыть свое присутствие на скомпрометированной машине.
Функционал малвари позволяет снимать отпечатки системы, запускать cmd, загружать файлы на сервер C2, записывать произвольные данные в файл и даже обновлять и удалять себя с зараженного хоста.
Кроме того, создается сценарий инициализации, который выполняется при загрузке системы, что фактически позволяет автоматически запускать загрузчик.
Пока фактов использования в дикой природе доподлинно не установлено, однако специалистов напрягает тот факт, что появление Lightning Framework делает его уже пятым штаммом вредоносного ПО для Linux, обнаруженным за последние три месяца после BPFDoor, Symbiote, Syslogk и OrBit.
• Source: https://www.intezer.com/blog/research/lightning-framework-new-linux-threat/
