Les logiciels malveillants HiddenWasp ciblant les systèmes Linux n’ont aucun taux de détection

Au fil des ans, les systèmes Linux ont été ciblés par des logiciels malveillants communs conçus pour exécuter des dénis de service distribués ou DDos, ainsi que l’exploitation minière Crypto. Intezer a découvert un malware nommé HiddenWasp, différent du malware précédemment découvert. Ce malware est uniquement utilisé pour un contrôle à distance ciblé. Il n’a aucun taux de détection dans tous les principaux systèmes antivirus.

Dans un rapport d’Igoncio Sanmillan, HiddenWasp utilise une technique avancée pour exploiter la charge utile basée sur les chevaux de Troie. Il semble que la majeure partie de son code soit basée sur la souche de malware Linux récemment découverte, Winniti, un outil de piratage développé par les pirates chinois.

Intezer met en évidence plusieurs similitudes entre les deux programmes malveillants cachés Wrap et Winniti. Selon lui, les deux partagent des variables environnementales communes avec celle utilisée dans le rootkit Azazei. En outre, il est écrit:

«En outre, nous constatons également un taux élevé de chaînes partagées avec d’autres programmes malveillants connus de ChinaZ, ce qui renforce la possibilité que les acteurs derrière HiddenWasp aient intégré et modifié certaines implémentations MD5 de [le] logiciel malveillant Elknot [qui auraient pu être partagées lors du piratage chinois forums “

HiddenWasp partage également l’utilisation de certains codes avec le malware Mirai loT. Il n’est pas facile pour les pirates informatiques de copier et coller le code à partir d’autres types de programmes malveillants. Cependant, les chercheurs ont réussi à trouver un indice intéressant qui indique que la Chine exploite ce HiddenWasp. Les chercheurs ont déclaré:

«Nous avons constaté que les fichiers [HiddenWasp] avaient été téléchargés sur VirusTotal à l’aide d’un chemin contenant le nom d’une société de criminalistique basée en Chine, connue sous le nom de Shen Zhou Wang Yun Information Technology Co., Ltd. d’une société d’hébergement de serveur physique connue sous le nom de ThinkDream située à Hong Kong, “

HiddenWasp est nouveau et on n’en sait pas encore beaucoup. Le vecteur est également connu, mais on peut supposer qu’il est distribué à des machines déjà compromises. Si tel est le cas, HiddenWasp est probablement le deuxième à être téléchargé à l’intérieur après d’autres outils. Ce HiddenWasp interagit ensuite avec le système de fichiers local et peut télécharger, télécharger et exécuter des fichiers. La caractéristique la plus dangereuse de cette menace est qu’elle a la capacité de rester non détectée sur la machine compromise. Cela a amené les chercheurs à conclure que:

«Les logiciels malveillants Linux peuvent présenter de nouveaux défis pour la communauté de la sécurité, que nous n’avons pas encore vus sur d’autres plates-formes. Le fait que ce logiciel malveillant parvienne à rester sous le radar devrait inciter le secteur de la sécurité à redoubler d’efforts ou de ressources pour détecter ces menaces. “

Winniti

HiddenWasp partage certaines similitudes avec le Winniti. Cette dernière version de Linux est découverte par Chronicle. La menace des versions Linux et Windows a beaucoup trop en commun. Selon les chercheurs, la version Linux de Winniti traitait les communications sortantes avec son serveur de commande et de contrôle presque de la même manière que celles de la variante Windows. Les serveurs utilisent le mélange de protocoles tel que vu avec la variante Windows. La seule caractéristique distinctive de Linux est sa capacité pour les pirates chinois à établir des connexions avec des hôtes infectés sans accès aux serveurs C & C.

Les chercheurs qui investissent HiddenWrap en concluent que:

«Les acteurs de la menace utilisant cet ensemble d’outils ont démontré à maintes reprises leur savoir-faire pour compromettre les environnements Windows. Une expansion dans les outils Linux indique une itération en dehors de leur zone de confort traditionnelle. Cela peut indiquer les exigences du système d’exploitation des cibles visées, mais aussi tenter de tirer parti de l’espace aveugle de la télémétrie de sécurité dans de nombreuses entreprises, comme c’est le cas avec Penguin Turla et la variante Linux XAgent d’APT28. »

Les logiciels malveillants Linux peuvent présenter de nouveaux défis pour la communauté de la sécurité et continuent de devenir de plus en plus complexes. À l’heure actuelle, même les menaces les plus courantes n’ont pas un taux de détection élevé. Qu’en est-il d’un malware aussi élevé, complexe et sophistiqué? Ce serait probablement les rares taux de détection ou de détection zéro.