Chronicle dice que el código de la variante de Linux se parece mucho a la versión Winnti 2.0 de Windows, una herramienta de piratería asociada a los ciberdelincuentes chinos durante la última década y utilizada en ataques a sistemas de todo el mundo.
Se creía que estaba detrás de un ataque de cadena de suministro contra una compañía de software de Corea del Sur en 2017.
Los expertos en seguridad creen que varios grupos de APT operan actualmente bajo el paraguas de Winnti; estos incluyen grupos etiquetados como Winnti, APT17, Gref, BARIUM, PlayfullDragon, Wicked Panda, DeputyDog, LEAD, Axiom, ShadowPad y PassCV.
Se ha observado que estos grupos utilizan estrategias y técnicas similares y, en algunos casos, incluso comparten partes de la misma infraestructura de piratería.
Según los investigadores, la variante de Linux de Winnti está diseñada para funcionar como puerta trasera en los hosts infectados y permite a los piratas informáticos acceder al sistema comprometido.
Encontraron la variante mientras investigaban un ataque cibernético llevado a cabo el mes pasado en el gigante farmacéutico Bayer.
Los expertos intentaban buscar muestras de malware de Winnti en la plataforma VirusTotal cuando detectaron la variante de Linux, que se remonta a 2015.
El análisis de la variante de Linux reveló que contiene dos archivos: el principal troyano de puerta trasera (libxselinux) y una biblioteca ( libxselinux.so ) utilizada para ocultar el malware.
"Al igual que con otras versiones de Winnti, el componente del núcleo del malware no nativa proporcionar los operadores con funcionalidad distinta. Este componente está diseñado principalmente para manejar las comunicaciones y el despliegue de módulos directamente de los servidores de comando y control," la Los investigadores escribieron en un blog .
"Durante nuestro análisis, no pudimos recuperar ninguno de los complementos activos. Sin embargo, los informes anteriores sugieren que los operadores suelen implementar complementos para la ejecución remota de comandos, la exfiltración de archivos y los calcetines que se procesan en el servidor infectado. Esperamos que se aproveche una funcionalidad similar mediante Módulos para Linux ", agregaron.
Un análisis más profundo del malware reveló muchas similitudes de código entre la versión de Windows Winnti 2.0 y la variante de Linux.
Según los investigadores, ambas variantes pueden comunicarse con sus servidores de control y comando utilizando una variedad de protocolos, incluidos los protocolos HTTP, ICMP y TCP / UDP personalizados.
Otra característica similar a ambas versiones es que permiten que sus controladores abran una conexión a hosts infectados sin requerir servidores de comando y control. Los expertos creen que esta función permite a los piratas informáticos acceder directamente a los hosts infectados cuando se interrumpe el acceso a un servidor de C&C. AI & Machine Learning Live regresará a Londres el 3 de julio de 2019. Escuche a Charles Ewen de Met Office, al científico de datos de AutoTrader, Dr. David Hoyle, ya Noriko Matsuoka, de la BBC, entre muchos otros. La asistencia es gratuita para los líderes de TI calificados y los profesionales de TI de alto nivel , pero los lugares son limitados, así que reserve el suyo ahora.
Fecha actualización el 2021-05-23. Fecha publicación el 2019-05-23. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: theinquirer Version movil