Эволюция ELF-вредоносных программ в облаках: угрозы и методы атак

В современном мире облачные технологии занимают центральное место в инфраструктуре многих организаций, однако вместе с этим растут и киберугрозы, направленные на их подрыв. Недавний отчет экспертов Unit 42 выявил тревожную тенденцию – активное использование вредоносных программ на базе ELF-файлов, которые ориентированы на платформы Linux и применяются хакерами для атак на облачные среды.

NoodleRAT: уникальный бэкдор с версиями для Windows и Linux

Особое внимание исследователей привлек _NoodleRAT_ — бэкдор, имеющий варианты для обеих самых популярных операционных систем: Windows и Linux. Его Linux-версия основана на ELF и выделяется среди других похожих вредоносных программ, таких как Rekoobe и Tiny SHell. Несмотря на схожие методы работы, NoodleRAT классифицируется как отдельное семейство вредоносных ПО.

Linux-версия NoodleRAT связана с китайскими кибератакующими группировками, включая Starchy Taurus (также известную как Winnti Group и BARIUM) и Nuclear Taurus. Вредоносная программа состоит из двух ключевых компонентов:

• основной исполняемый файл ELF — libxselinux;
• динамическая библиотека — libxselinux.so.

Облачные атаки с использованием ELF-файлов: пять ключевых семейств вредоносного ПО

Эксперты Unit 42 обозначили пять основных семейств вредоносных программ на базе ELF, значительно обновляемых и активно используемых для атак в облачных средах, где доминируют Linux-серверы. Рост угроз связан с тем, что злоумышленники, учитывая широкое распространение Linux в облачной инфраструктуре, получают удобные возможности для проникновения и удержания контроля.

Основные особенности таких вредоносных программ:

• использование динамического взлома компоновщика с помощью переменной среды LD_PRELOAD;
• внедрение вредоносного кода в легитимные процессы для получения критически важного доступа;
• установление и поддержка скрытых каналов управления (C2) и стойкости в системе;
• функции эксфильтрации данных и/или их уничтожения.

Другие представители вредоносных семейств ELF и их особенности

Среди остальных известных образцов выделяются:

• SSHdInjector — ориентирован на SSH-демон, обеспечивает перманентный доступ и связан с продвинутыми угрозами (APT), занимающимися кибершпионажем;
• Pygmy Goat — руткит, использующий уязвимости, например, CVE-2022-1040, для контроля SSH-коммуникаций. Его связь осуществляется с помощью специализированных ICMP-пакетов, что позволяет работать в режиме скрытого канала;
• AcidRain и производная от него AcidPour — вредоносные программы типа wiper, нацеленные на уничтожение данных. AcidRain атакует устройства на архитектуре MIPS, в то время как AcidPour работает с x86-системами, включая облачные среды. После атаки эти инструменты могут выполнять самоуничтожение, что затрудняет расследование и восстановление.

Заключение

Эволюция вредоносного ПО на базе ELF-файлов создает новые уникальные вызовы для кибербезопасности облачных инфраструктур. Такие вредоносные программы, как NoodleRAT, SSHdInjector и AcidRain, демонстрируют высокий уровень адаптивности и технического совершенства, что позволяет злоумышленникам эффективно эксплуатировать популярные сервисы Linux, предоставляющие удаленный доступ и управление.

С учетом значимости облачных технологий и распространенности Linux в данной среде, организациям следует уделять особое внимание мониторингу и защите от подобных угроз. Повышение осведомленности, внедрение современных методов обнаружения и оперативный реагирования — ключевые меры для минимизации рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.