Исследователи из AT&T Alien Labs выявили новое скрытное вредоносное ПО под названием Shikitega, которое способно заражать как серверы, так и устройства Интернета вещей на Linux. Оно использует многоступенчатую схему заражения, доставляя нагрузку по несколько сотен байтов за шаг, а также криптор Shikata Ga Nai.
Это обеспечивает полиморфизм, защищая код от статического анализа на основе сигнатур. Shikitega изменяет свой код каждый раз, когда проходит один из нескольких циклов декодирования. В качестве бэкдора применяется Mettle как облегчённый вариант Meterpreter, с дальнейшей эксплуатацией CVE-2021-4034 и CVE-2021-3493. Исполняемый файл вируса весит 376 байт.
Целью Shikitega является установка криптомайнера, но вредоносный код может использоваться и для доставки полезной нагрузки. Программа сбрасывает программное обеспечение XMRig для добычи криптовалюты Monero. Пакет Mettle позволяет управлять веб-камерой, красть учётные данные и работает на большом числе устройств.
AT&T не сообщила, как происходит первоначальное заражение, но отметила, что Shikitega использует две уязвимости Linux, обнаруженные в 2021 году.
Вредонос также использует решения облачного хостинга для хранения части своей полезной нагрузки, связываясь по IP-адресу вместо доменного имени.
В марте 2021 года специалист по кибербезопасности из компании GRIMM Адам Николс рассказал о критической уязвимости CVE-2021-27365 (переполнение буфера кучи, повышение локальных привилегий) в подсистеме iSCSI ядра Linux. Баг в коде был с 2006 года. Затронутыми оказались все дистрибутивы Linux.
