برنامج Linux الضارة الجديد ‘sedexp’ يخفي كاشطات بطاقات الائتمان باستخدام قواعد Udev
اكتشف باحثو الأمن السيبراني قطعة خفية جديدة من البرمجيات الخبيثة لنظام التشغيل Linux التي تستفيد من تقنية غير تقليدية لتحقيق الثبات على الأنظمة المصابة وإخفاء رمز مقشدة بطاقة الائتمان.
تمت تسمية البرنامج الضار، المنسوب إلى جهة تهديد ذات دوافع مالية، باسم رمزي com.sedexp بواسطة فريق خدمات الاستجابة للحوادث التابع لشركة Aon Stroz Friedberg.
“هذا التهديد المتقدم، النشط منذ عام 2022، يختبئ على مرأى من الجميع بينما يزود المهاجمين بقدرات قذيفة عكسية وتكتيكات إخفاء متقدمة،” الباحثون زاكاري رايشرت، دانييل شتاين، وجوشوا بيفيروتو قال.
ليس من المستغرب أن الجهات الفاعلة الخبيثة تعمل باستمرار على الارتجال وتحسين مهاراتها التجارية، وقد تحولت إلى تقنيات جديدة لتجنب اكتشافها.
ما يجعل sedexp جديرًا بالملاحظة هو استخدامه لقواعد udev للحفاظ على الثبات. Udev، بديل لنظام ملفات الجهاز، العروض آلية لتحديد الأجهزة بناءً على خصائصها وتكوين القواعد للاستجابة عند حدوث تغيير في حالة الجهاز، أي عند توصيل الجهاز أو إزالته.
يحتوي كل سطر في ملف قواعد udev على زوج مفتاح وقيمة مرة واحدة على الأقل، مما يجعل من الممكن مطابقة الأجهزة بالاسم وتشغيل إجراءات معينة عند اكتشاف أحداث مختلفة على الجهاز (على سبيل المثال، تشغيل نسخة احتياطية تلقائية عند توصيل محرك أقراص خارجي).
“قد تحدد قاعدة المطابقة اسم عقدة الجهاز، أو تضيف روابط رمزية تشير إلى العقدة، أو تقوم بتشغيل برنامج محدد كجزء من معالجة الحدث،” SUSE Linux ملحوظات في توثيقه. “إذا لم يتم العثور على قاعدة مطابقة، فسيتم استخدام اسم عقدة الجهاز الافتراضي لإنشاء عقدة الجهاز.”
قاعدة udev لـ sedexp — ACTION==”add”، ENV{MAJOR}==”1″، ENV{MINOR}==”8″، RUN+=”asedexpb run:+” — تم إعدادها بحيث يتم تشغيل البرامج الضارة عندما يكون /dev/random (يتوافق مع الجهاز الصغير رقم 8) ، والذي يحدث عادةً عند كل عملية إعادة تشغيل.
وبعبارة أخرى، يتم تنفيذ البرنامج المحدد في معلمة RUN في كل مرة بعد إعادة تشغيل النظام.
تأتي البرمجيات الخبيثة مزودة بإمكانيات إطلاق غلاف عكسي لتسهيل الوصول عن بعد إلى المضيف المخترق، بالإضافة إلى تعديل الذاكرة لإخفاء أي ملف يحتوي على السلسلة “sedexp” من أوامر مثل ls أو find.
قال Stroz Friedberg إنه في الحالات التي تم التحقيق فيها، تم استخدام القدرة لإخفاء قذائف الويب وملفات تكوين Apache المعدلة وقاعدة udev نفسها.
وقال الباحثون: “تم استخدام البرمجيات الخبيثة لإخفاء كود بطاقة الائتمان على خادم الويب، مما يشير إلى التركيز على المكاسب المالية”. “إن اكتشاف sedexp يدل على التطور المتطور للجهات الفاعلة في مجال التهديد ذات الدوافع المالية بما يتجاوز برامج الفدية.”
إرسال التعليق