Koske Linux: модульный майнер с поддержкой ИИ, скрытый в systemd
Источник: www.picussecurity.com
В ходе кампании 2025 года исследователи выявили вредоносное ПО для криптомайнинга Koske для Linux — пример «нового поколения» угроз, отличающихся повышенной скрытностью, модульностью и адаптивностью. Особое внимание привлекает предположение о том, что при разработке Koske могли быть использованы большие языковые модели (LLM), что отразилось на «чистоте» кода и автоматизированной логике, отличающей его от предыдущих поколений криптомайнеров.
Краткое описание угрозы
Koske реализует многокомпонентную стратегию выживания и выполнения вредоносной полезной нагрузки, опираясь на ряд техник, сопоставимых с платформой MITRE ATT&CK. В конечном счёте злоумышленники загружают и расшифровывают зашифрованный майнер XMRig, используя ресурсы скомпрометированных систем для получения финансовой выгоды.
Ключевые тактики и техники
Вредоносное ПО применяет следующие техники (с ссылкой на MITRE ATT&CK внутри описания):
- Выполнение встроенной полезной нагрузки через shell-команды — запускает встроенные команды Unix для извлечения и исполнения полезной нагрузки, скрытой в файлах polyglot JPEG (MITRE T1059.004).
- Устойчивость после перезагрузки — внедряет злонамеренные команды в сценарии запуска Linux, обеспечивая автоматическое выполнение (MITRE T1547.006 и T1037.004).
- Манипуляция systemd — создаёт и маскирует службы в systemd под законными именами, чтобы добиться автозапуска при инициализации системы (MITRE T1543.002).
- Перехват выполнения через LD_PRELOAD — использует переменную окружения LD_PRELOAD для загрузки вредоносных shared objects до стандартных библиотек и изменения поведения легитимных программ (MITRE T1574).
- Отключение host-based firewall — сбрасывает правила iptables, чтобы убрать сетевые барьеры и упростить коммуникации (MITRE T1562.004).
- Использование прокси и маскировка трафика — обнаруживает настройки системного прокси и направляет C2-трафик через существующие прокси, чтобы сливаться с корпоративным трафиком (MITRE T1574, T1090.001).
Механизм доставки и исполнения
Одним из характерных приёмов Koske является скрытие полезной нагрузки внутри polyglot JPEG, что позволяет пройти поверхностную проверку содержимого файлов и затем выполнить встроенные shell-команды. После запуска внедряются механизмы устойчивости: изменения в скриптах автозапуска и создание маскируемых unit-файлов systemd обеспечивают повторный запуск вредоносных компонентов при загрузке системы.
Сетевая активность и сокрытие
Koske активно использует возможности локальной сетевой инфраструктуры для маскировки управляемого трафика (C2). Обнаружение и использование системного прокси позволяет направлять злоумышленнические соединения через легитимные каналы. Одновременно вредоносное ПО пытается упростить свою сетевую активность, обнуляя правила iptables, что осложняет блокировку и мониторинг.
Цель: XMRig и финансовая мотивация
Финальным этапом атаки является загрузка зашифрованного майнера XMRig, который расшифровывается и запускается на скомпрометированном хосте. Это позволяет злоумышленникам получать вознаграждение за счёт вычислительных ресурсов жертв и служит прямой финансовой мотивацией кампании.
Роль искусственного интеллекта
«большие языковые модели, возможно, существенно повлияли на его разработку, придав вредоносному ПО особенно чистый код и автоматизированную логику»
В отчёте подчёркивается, что элементы «чистого» кода и высокий уровень автоматизации могут быть следствием применения LLM при разработке или сопровождении Koske. Это делает угрозу более гибкой и труднее поддающейся традиционным сигнатурным методам обнаружения.
Последствия и практические рекомендации
Koske иллюстрирует, как современные угрозы комбинируют классические приёмы эксплуатации Linux-окружения с более продвинутыми методами сокрытия, включая возможное использование ИИ при разработке. Для повышения устойчивости инфраструктуры рекомендуется обратить внимание на следующие меры:
- Контролировать изменения в systemd unit-файлах и скриптах автозапуска, внедрять мониторинг целостности этих объектов.
- Отслеживать использование переменной окружения LD_PRELOAD и загрузку нестандартных shared objects.
- Проверять и защищать конфигурации iptables, фиксировать необъяснимые сбросы правил.
- Анализировать аномалии в поведении прокси и нетипичный трафик, идущий через корпоративные прокси-серверы.
- Проверять вложения и мультимедийные файлы на наличие polyglot-структур или скрытых payload’ов.
- Использовать поведенческий мониторинг для выявления процессов с высокой CPU-нагрузкой и подозрительной сетьевой активностью, характерной для майнеров.
Вывод
Koske демонстрирует растущую сложность Linux-угроз: сочетание проверенных техник (автозапуск, маскирование под systemd, модификация брандмауэра) с более изощрёнными методами сокрытия и возможной поддержкой LLM делает обнаружение и реагирование более сложными. Оперативный мониторинг конфигураций систем и сетевого поведения, а также внедрение средств поведенческой аналитики критичны для снижения рисков от подобных кампаний.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
