Un nuovo malware Linux, denominato sedexp, evade i sistemi di rilevamento fin dal 2022, grazie a una tecnica di persistenza non ancora documentata nel framework MITRE ATT&CK.
Scoperto dalla società di gestione del rischio Stroz Friedberg, un'azienda di Aon Insurance, il malware permette agli operatori di creare shell inverse per l'accesso remoto e sviluppare ulteriormente l'attacco.
Sedexp usa regole udev per garantirsi la persistenza nei dispositivi infetti. Udev è un sistema di gestione dei dispositivi per il kernel Linux, che gestisce i nodi dei dispositivi nella directory /dev, rappresentando i componenti hardware del sistema come unità di archiviazione, interfacce di rete e drive USB.
Le regole di udev sono file di configurazione testuale che specificano come il gestore debba comportarsi rispetto a determinati dispositivi o eventi. Nel caso di sedexp, la regola aggiunta esegue uno script maligno ogni volta che viene aggiunto un nuovo dispositivo, con specifiche condizioni legate al componente /dev/random, essenziale per la generazione di numeri casuali nel sistema. Questo approccio garantisce che il malware venga eseguito frequentemente e passi inosservato.
Una preoccupante novità di sedexp è la sua capacità di mimetizzarsi all'interno del sistema. Il malware rinomina i suoi processi in kdevtmpfs, rispecchiando i nomi di processi di sistema legittimi, rendendone così difficile la rilevazione attraverso metodi convenzionali. Inoltre, manipola la memoria del sistema per nascondere ogni file che contenga la stringa sedexp, eludendo comandi standard come ls o find.
L'attività di questo malware non è relegata solo all'occultamento. Sedexp è in grado di modificare i contenuti della memoria per iniettare codice maligno o alterare il comportamento di applicazioni e processi di sistema esistenti. Queste capacità mostrano l'alto livello di sofisticazione del malware e la serietà della minaccia che rappresenta per la sicurezza informatica.
Implicazioni e contesto globale della minaccia
Questo malware ha anche un impatto nei contesti finanziari, essendo stato utilizzato per nascondere codici di scraping di carte di credito su server web compromessi. Tale attività indica un chiaro intento di perseguire guadagni finanziari illeciti. Secondo Stroz Friedberg, il malware è stato attivo e non rilevato in molte sandbox online e solo due motori antivirus lo hanno identificato come maligno su VirusTotal.
La scoperta del sedexp e delle sue innovative tecniche di occultamento solleva questioni cruciali sulla capacità delle infrastrutture esistenti di rilevare e contrastare minacce informatiche avanzate. L'assenza di documentazione per tali tecniche nel framework MITRE ATT&CK fino ad ora mostra una lacuna nelle risorse comuni utilizzate per la difesa da queste minacce emergenti, sottolineando la necessità di un aggiornamento e adattamento continuo delle strategie di sicurezza informatica.
Il caso di sedexp evidenzia il costante evolvere delle minacce informatiche e la necessità per le organizzazioni di rimanere vigilantemente aggiornate sulle ultime tattiche e tecniche impiegate dagli attaccanti per proteggere efficacemente i loro sistemi e dati essenziali.