Un nouveau malware Linux appelé Shikitega abuse des serveurs et des appareils IoT pour l’extraction de Monero via XMRig.

Les chercheurs d’AT&T ont découvert un nouveau malware Linux appelé Shikitega qui cible les serveurs et les appareils IoT. En exploitant les vulnérabilités, il obtient des privilèges plus élevés et démarre enfin un mineur Monero sur les appareils infectés. Le malware est assez discret et contourne la détection basée sur la signature des programmes antivirus courants avec un encodeur polymorphe.

Shikitega utilise un encodeur polymorphe et se déploie progressivement

Selon le rapport des chercheurs d’AT&T, Shikitega utilise une chaîne d’infection à plusieurs étapes. « Le malware Shiketega est distribué de manière sophistiquée, en utilisant un encodeur polymorphe et en délivrant progressivement sa charge utile, chaque étape ne révélant qu’une partie de la charge utile totale« , ont déclaré les experts en sécurité. Cela commence par un fichier ELF de seulement 370 octets, qui contient du code shell crypté et agit comme un compte-gouttes.

L’encodeur analysé par Mandiant en 2019, nommé « Shikata Ga Naï” se charge du cryptage.

« À l’aide de l’encodeur, le logiciel malveillant passe par plusieurs boucles de décodage, une boucle décodant la couche suivante, jusqu’à ce que la charge utile finale du shellcode soit décodée et exécutée. Le goujon de codeur est généré sur la base d’une substitution de commande dynamique et d’une disposition de bloc dynamique. De plus, les registres sont sélectionnés dynamiquement.

Chercheurs AT&T

Mettle ouvre la porte au mineur de Monero XMRig

En exécutant le shellcode décrypté, Shikitega contacte les serveurs de commande et de contrôle (C2) pour récupérer et exécuter un shellcode supplémentaire. Entre autres choses, le meterpreter Mettle est téléchargé, ce qui offre à l’attaquant des options supplémentaires pour le contrôle à distance et l’exécution de code.

Un autre fichier ELF récupéré via Mettle utilise ensuite CVE-2021-4034 et CVE-2021-3493 pour obtenir des autorisations étendues et enfin télécharger le crypto-mineur XMRig version 6.17.0 en tant que root. Celui-ci est alors destiné au minage du Monero anonyme et difficile à retracer. Cependant, il est tout à fait concevable que des attaquants utilisent également Shikitega pour d’autres charges utiles à l’avenir.

Les attaques contre les systèmes Linux se multiplient – et nécessitent une action

En tant que mesures de sécurité permettant aux administrateurs système de se protéger contre les logiciels malveillants tels que Shikitega, les chercheurs d’AT&T recommandent de maintenir les systèmes à jour avec les mises à jour de sécurité. Il est également utile d’utiliser EDR (Endpoint Detection and Response) et des programmes antivirus, et de sauvegarder régulièrement les fichiers.

À mesure que les systèmes Linux se répandent, ils deviennent de plus en plus la cible des cybercriminels. Après tout, ce sont souvent des appareils IoT mal sécurisés et peu surveillés ou des serveurs particulièrement puissants qui utilisent ce système d’exploitation. Les premiers sont souvent particulièrement faciles à pirater, les seconds offrent une énorme puissance de calcul qui peut être utilisée de manière lucrative. Nous avons récemment examiné de plus près Lightning, un nouveau framework de logiciels malveillants pour Linux.