Cybersecurity-onderzoekers hebben een nieuw stukje sluwe Linux-malware ontdekt dat gebruikmaakt van een onconventionele techniek om persistent te blijven op geïnfecteerde systemen en de code van creditcardskimmers te verbergen.
De malware, die wordt toegeschreven aan een financieel gemotiveerde dreigingsactor, heeft de codenaam sedexp door het Stroz Friedberg incident response services team van Aon.
“Deze geavanceerde dreiging, actief sinds 2022, is onzichtbaar, maar biedt aanvallers wel de mogelijkheid om een aanval te forceren en geavanceerde tactieken te gebruiken om zich te verbergen”, aldus de onderzoekers Zachary Reichert, Daniel Stein en Joshua Pivirotto.
Het is niet verrassend dat kwaadwillende partijen voortdurend improviseren en hun technieken verfijnen, en dat ze nieuwe technieken gebruiken om detectie te omzeilen.
Wat sedexp opmerkelijk maakt, is het gebruik van udev-regels om persistentie te behouden. Udev, de vervanging voor het Device File System, biedt een mechanisme om apparaten te identificeren op basis van hun eigenschappen en regels te configureren om te reageren wanneer er een verandering is in de apparaatstatus, d.w.z. een apparaat wordt aangesloten of verwijderd.
Elke regel in het udev-regelsbestand bevat ten minste één sleutel-waardepaar, waardoor apparaten op naam aan elkaar kunnen worden gekoppeld en bepaalde acties kunnen worden geactiveerd wanneer verschillende apparaatgebeurtenissen worden gedetecteerd (bijvoorbeeld een automatische back-up activeren wanneer een externe schijf wordt aangesloten).
“Een matching rule kan de naam van het apparaatknooppunt specificeren, symbolische links toevoegen die naar het knooppunt verwijzen of een bepaald programma uitvoeren als onderdeel van de gebeurtenisafhandeling,” merkt SUSE Linux op in zijn documentatie. “Als er geen matching rule wordt gevonden, wordt de standaard apparaatknooppuntnaam gebruikt om het apparaatknooppunt te maken.”
De udev-regel voor sedexp — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — is zo ingesteld dat de malware wordt uitgevoerd telkens wanneer /dev/random (overeenkomend met apparaatminornummer 8) wordt geladen, wat doorgaans gebeurt bij elke herstart.
Met andere woorden, het programma dat is opgegeven in de RUN-parameter wordt elke keer uitgevoerd na een herstart van het systeem.
De malware beschikt over de mogelijkheid om een omgekeerde shell te starten om zo op afstand toegang te krijgen tot de gecompromitteerde host. Ook kan de malware het geheugen aanpassen om bestanden met de tekenreeks ‘sedexp’ te verbergen voor opdrachten als ls of find.
Stroz Friedberg zei dat in de onderzochte gevallen de mogelijkheid werd gebruikt om web shells, gewijzigde Apache configuratiebestanden en de udev-regel zelf te verbergen.
“De malware werd gebruikt om creditcard-scrapingcode te verbergen op een webserver, wat duidt op een focus op financieel gewin”, aldus de onderzoekers. “De ontdekking van sedexp toont de evoluerende verfijning van financieel gemotiveerde dreigingsactoren die verder gaan dan ransomware.”
