Для Windows Subsystems for Linux (WSL) был разработан ряд образцов вредоносного ПО, нацеленных на взлом машин с Windows. С их помощью операторам удается оставаться незамеченными, избегая обнаружения популярными механизмами защиты.
Этот отличительный метод стал первым случаем, когда злоумышленники задействовали WSL для последующей установки полезных нагрузок.
«Эти файлы выступали в качестве загрузчиков, выполняющих полезную нагрузку, которая либо оказывалась встроенной в сам образец, либо извлекалась с удаленного сервера, после чего внедрялась в работающий процесс через вызовы Windows API». – сообщили исследователи из Lumen Black Lotus Labs в своем докладе.
Windows Subsystem for Linux, запущенная в августе 2016 года, является слоем совместимости, предназначенным для запуска исполняемых файлов Linux (в формате ELF) нативно на платформе Windows без дополнительной нагрузки в виде традиционной виртуальной машины или настройки двойной загрузки.
Первые артефакты датируются 3 мая 2021 года, после чего вплоть до 22 августа с интервалами в две-три недели последовала серия загрузок исполняемых файлов Linux. Образцы не просто написаны на Python 3 и преобразованы в бинарники ELF с помощью PyInstaller, но также настроены на скачивание шелл-кода с удаленного C&C сервера и использование PowerShell для выполнения на зараженном хосте последующих действий.
Эта вторичная полезная нагрузка с «шелл-кодом» внедряется в запущенный процесс через вызовы Windows API для, как это описали в Lumen, «Исполнения двоичного файла ELF в Windows», но лишь после того, как вредонос стремится отключить антивирусные программы и инструменты анализа. Более того, использование стандартных библиотек Python делает некоторые из разновидностей способными работать не только в Windows, но и в Linux.
«До сих пор нам удалось определить лишь ограниченное число образцов со всего одним публично отслеживаемым IP-адресом. Это говорит от том, что данная активность достаточно узконаправлена, или метод еще находится в разработке», — сообщили исследователи. – «По мере того, как некогда твердые границы между операционными системами будут терять свою отчетливость, злоумышленники не преминут воспользоваться новыми поверхностями атаки».
