Các nhà nghiên cứu đã phát hiện ra một cửa hậu đa nền tảng mới lây nhiễm Windows và các hệ thống Linux cho phép kẻ tấn công chạy mã độc và mã nhị phân trên các máy bị xâm nhập.
Phần mềm độc hại có tên là ACBackdoor được phát triển bởi một nhóm mối đe dọa có kinh nghiệm trong việc phát triển các công cụ độc hại cho nền tảng Linux dựa trên độ phức tạp cao hơn của biến thể Linux như nhà nghiên cứu bảo mật Intezer Ignacio Sanmillan tìm thấy.
"ACBackdoor cung cấp thực thi tùy ý các lệnh shell, thực thi nhị phân tùy ý, tính bền bỉ và khả năng cập nhật", nhà nghiên cứu Intezer nhận thấy.
Các vectơ nhiễm trùng và phần mềm độc hại được chuyển
Cả hai biến thể đều có chung máy chủ chỉ huy và kiểm soát (C2) nhưng vectơ lây nhiễm mà chúng sử dụng để lây nhiễm cho nạn nhân của chúng là khác nhau: Windows phiên bản đang được đẩy qua quảng cáo độc hại với sự trợ giúp của Bộ công cụ khai thác Fallout trong khi tải trọng Linux bị bỏ qua một hệ thống phân phối chưa được biết đến.
Phiên bản mới nhất của bộ khai thác này, được phân tích bởi nhà nghiên cứu nao_sec vào tháng 9, nhắm mục tiêu CVE-2018-15982 (Flash Player) và CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine) lỗ hổng để lây nhiễm khách truy cập các trang web do kẻ tấn công kiểm soát bằng phần mềm độc hại.
May mắn thay, " Windows biến thể của phần mềm độc hại này không phải là mối đe dọa phức tạp về mặt Windows phần mềm độc hại, " Sanmillan nói.
Cửa hàng của chúng tôi Windows phiên bản dường như cũng được chuyển từ Linux khi thấy rằng nhà nghiên cứu phát hiện ra rằng họ chia sẻ một số chuỗi dành riêng cho Linux như các đường dẫn thuộc hệ thống tệp Linux hoặc tên quy trình xử lý chuỗi nhân.
"Bộ cấy Linux đáng chú ý đã được viết tốt hơn so với Windows cấy ghép, làm nổi bật việc thực hiện cơ chế kiên trì cùng với các lệnh backdoor khác nhau và các tính năng bổ sung không thấy trong Windows phiên bản như tạo quy trình độc lập và đổi tên quy trình ", báo cáo nêu rõ.
Khả năng độc hại của Backdoor
Sau khi lây nhiễm vào máy tính của nạn nhân, phần mềm độc hại sẽ bắt đầu thu thập thông tin hệ thống bao gồm kiến trúc và địa chỉ MAC của nó, sử dụng các công cụ dành riêng cho nền tảng để thực hiện, với Windows Các hàm API trên Windows và uname chương trình UNIX thường được sử dụng để in thông tin hệ thống.
Sau khi hoàn thành các tác vụ thu thập thông tin, ACBackdoor sẽ thêm mục đăng ký vào Windowsvà tạo một số liên kết tượng trưng cũng như tập lệnh initrd trên Linux để có được sự bền bỉ và được tự động khởi chạy khi khởi động hệ thống.
Cửa hậu cũng sẽ cố gắng ngụy trang theo quy trình MsMpEng.exe, của Microsoft Windows Defender phần mềm chống phần mềm độc hại và phần mềm chống phần mềm gián điệp, trong khi trên Linux, nó sẽ ngụy trang thành tiện ích Ubuntu UpdateNotifier và sẽ đổi tên quy trình của nó thành (kworker / u8:7-ev), một luồng nhân Linux.