بدافزار جدید لینوکس 'sedexp' اسکیمرهای کارت اعتباری را پنهان میکند
محققان امنیت سایبری یک قطعه مخفی جدید از بدافزار لینوکس را کشف کردهاند که از روشی غیر متعارف برای دستیابی به پایداری در سیستمهای آلوده و پنهان کردن کد اسکیمر کارت اعتباری استفاده میکند.
این بدافزار که به یک عامل تهدید با انگیزه مالی نسبت داده میشود، توسط تیم خدمات پاسخگویی به حوادث Aon's Stroz Friedberg با نام رمز sedexp شناخته شده است.
محققین میگویند: «این تهدید پیشرفته که از سال 2022 فعال است، در دید آشکار پنهان میشود و در عین حال به مهاجمان قابلیتهای پوسته معکوس و تاکتیکهای پنهانسازی پیشرفته را ارائه میدهد».
چیزی که sedexp را قابل توجه میکند استفاده آن از قوانین udev برای حفظ پایداری است. Udev، جایگزینی برای Device File System، مکانیزمی را برای شناسایی دستگاهها بر اساس ویژگیهای آنها و پیکربندی قوانینی ارائه میدهد تا در صورت تغییر در وضعیت دستگاه، یعنی دستگاهی که به برق وصل یا حذف شده است، پاسخ دهند.
هر خط در فایل قوانین udev حداقل یک بار دارای جفت کلید-مقدار است، که این امکان را فراهم میکند که دستگاهها را بر اساس نام مطابقت داده و هنگام شناسایی رویدادهای مختلف دستگاه، اقدامات خاصی را آغاز کند (به عنوان مثال، هنگام اتصال یک درایو خارجی، یک پشتیبانگیری خودکار راهاندازی شود)
SUSE Linux در مستندات خود خاطرنشان میکند: «یک قانون تطبیق ممکن است نام گره دستگاه را مشخص کند، پیوندهای نمادین را به گره اضافه کند، یا یک برنامه مشخص را به عنوان بخشی از مدیریت رویداد اجرا کند». "اگر هیچ قانون منطبقی یافت نشد، نام گره دستگاه پیش فرض برای ایجاد گره دستگاه استفاده میشود."
این بدافزار دارای قابلیتهایی برای راهاندازی پوسته معکوس برای تسهیل دسترسی از راه دور به میزبان آسیبدیده، و همچنین تغییر حافظه برای پنهان کردن فایلهای حاوی رشته «sedexp» از دستوراتی مانند ls یا find است.
استروز فریدبرگ گفت در مواردی که بررسی کرده است، از این قابلیت برای مخفی کردن پوستههای وب، فایلهای پیکربندی تغییر یافته آپاچی و خود قانون udev استفاده شده است.
محققان گفتند: «این بدافزار برای مخفی کردن کد خراش کارت اعتباری در یک وب سرور استفاده شد که نشان دهنده تمرکز بر سود مالی است. "کشف sedexp پیچیدگی در حال تکامل عوامل تهدید کننده با انگیزه مالی فراتر از باج افزار را نشان میدهد."
نوشته
 |
|
| ابراهیم سلامت | |
| ایجاد شده در | 8 شهریور 1403 |
| بازدید | 16 |
