- 12,454
- 18
- 8 Ноя 2022
Обнаружение вредоноса открывает новый виток эволюции вирусов.
Компания Aon Для просмотра ссылки Войдиили Зарегистрируйся новый вирус для Linux под названием sedexp, который с 2022 года остается незамеченным благодаря уникальному методу скрытности. Вредоносное ПО позволяет злоумышленникам удаленно управлять зараженными устройствами и проводить атаки.
Sedexp примечателен тем, что использует правила udev для сохранения устойчивости на заражённых системах. Udev — это система, позволяющая автоматически выполнять определённые действия при изменении состояния устройств (подключение или отключение). Вредоносная программа добавляет своё правило в систему:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
Правило активируется при подключении нового устройства и проверяет, соответствует ли оно критериям /dev/random, что позволяет вирусу регулярно запускаться при старте системы. Вредоносное ПО также маскируется под легитимный процесс kdevtmpfs, что затрудняет обнаружение.
Вредоносное ПО также обладает способностью запускать Reverse Shell , что позволяет удалённо управлять заражённым компьютером. Также sedexp использует методы скрытия в памяти, чтобы оставаться невидимым для стандартных команд, таких как ls или find, и может изменять память для внедрения вредоносного кода или изменения поведения приложений. В расследуемых случаях такие методы использовались для скрытия веб-оболочек, изменённых конфигурационных файлов Apache и самого правила udev.
Согласно исследованию, вирус действует как минимум с 2022 года и был обнаружен в нескольких онлайн-песочницах, но его распознали только два антивируса на платформе VirusTotal. Также известно, что sedexp применялся для кражи данных кредитных карт на взломанных веб-серверах, что свидетельствует об использовании в атаках с кражей средств с платежных карт. Обнаружение sedexp показывает, как финансово мотивированные хакеры используют всё более сложные методы, выходя за рамки традиционных программ-вымогателей.
Компания Aon Для просмотра ссылки Войди
Sedexp примечателен тем, что использует правила udev для сохранения устойчивости на заражённых системах. Udev — это система, позволяющая автоматически выполнять определённые действия при изменении состояния устройств (подключение или отключение). Вредоносная программа добавляет своё правило в систему:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
Правило активируется при подключении нового устройства и проверяет, соответствует ли оно критериям /dev/random, что позволяет вирусу регулярно запускаться при старте системы. Вредоносное ПО также маскируется под легитимный процесс kdevtmpfs, что затрудняет обнаружение.
Вредоносное ПО также обладает способностью запускать Reverse Shell , что позволяет удалённо управлять заражённым компьютером. Также sedexp использует методы скрытия в памяти, чтобы оставаться невидимым для стандартных команд, таких как ls или find, и может изменять память для внедрения вредоносного кода или изменения поведения приложений. В расследуемых случаях такие методы использовались для скрытия веб-оболочек, изменённых конфигурационных файлов Apache и самого правила udev.
Согласно исследованию, вирус действует как минимум с 2022 года и был обнаружен в нескольких онлайн-песочницах, но его распознали только два антивируса на платформе VirusTotal. Также известно, что sedexp применялся для кражи данных кредитных карт на взломанных веб-серверах, что свидетельствует об использовании в атаках с кражей средств с платежных карт. Обнаружение sedexp показывает, как финансово мотивированные хакеры используют всё более сложные методы, выходя за рамки традиционных программ-вымогателей.
- Источник новости
- www.securitylab.ru
