Эксперты предупреждают, что новый тип вредоносного ПО для Linux позволяет своим операторам получать удаленный доступ к зараженному устройству и скрывается на виду уже более двух лет.
Строз Фридберг, обнаруживший вредоносное ПО и написавший подробное объяснение, сказал, что вредоносное ПО называется «sedexp» и с 2022 года уклоняется от обнаружения.
Хотя важно предоставить злоумышленникам удаленный доступ к уязвимой конечной точке, это не уникальная особенность этого вредоносного ПО. Скорее, он оставался скрытым более двух лет, гарантируя, что он останется незамеченным большинством антивирусных решений.
Правила Udev нарушены
Согласно отчету, sedexp остался незамеченным благодаря использованию правил Udev.
«На момент написания используемая техника сохранения (правила udev) не задокументирована MITRE ATT&CK», — отмечают исследователи.
Udev — это диспетчер устройств ядра Linux, который отвечает за управление узлами устройств в каталоге /dev. Он динамически создает и удаляет узлы устройств на основе устройств, подключенных к системе, таких как USB-накопители, принтеры и сетевые интерфейсы. Это также гарантирует загрузку правильного драйвера в память для каждого узла.
С другой стороны, правила Udev представляют собой текстовые конфигурации, которые сообщают диспетчеру устройств, как обрабатывать различные устройства или события. Исследователи объяснили, что для запуска вредоносного ПО и обеспечения его скрытности в udev добавляется специальное правило. Наконец, вредоносная программа называет свой процесс «kdevtmpfs», как и любой другой законный процесс, что еще больше затрудняет обнаружение.
Строз Фридберг считает, что это вредоносное ПО используется как минимум с 2022 года и было обнаружено во многих онлайн-песочницах, ни одна из которых не запускала антивирусные программы. Исследователи полагают, что вредоносное ПО использовалось для сокрытия скиммера кредитных карт.
Больше от TechRadar Pro
