Новая вредоносная программа Koske маскируется под изображения панд и атакует Linux-системы для добычи криптовалют
Изображение: recraft
Исследователи компании AquaSec обнаружили опасную вредоносную программу под названием Koske, которая нацелена на Linux-системы и использует изображения с изображением панд как прикрытие для внедрения вредоносного кода. По мнению аналитиков, функциональность и поведение программы указывают на то, что при её создании могли использоваться большие языковые модели (LLM) или автоматизированные инструменты, что повышает адаптивность и сложность угрозы.
Как отмечают в AquaSec, Koske представляет собой многоуровневый инструмент криптомайнинга, оптимизированный для загрузки и использования ресурсов процессора и видеокарты заражённого устройства. Вредонос способен добывать более 18 различных криптовалют и функционирует с высокой скрытностью. Идентифицированные в ходе анализа IP-адреса связаны с Сербией, также в скриптах были обнаружены сербские фразы, а в открытых репозиториях — словацкий язык. Несмотря на это, точное происхождение группировки остаётся неустановленным.
Первичный доступ к системе злоумышленники получают через неправильно настроенные экземпляры JupyterLab, находящиеся в публичном доступе в интернете. Закрепившись, атакующие загружают два файла с изображениями панд в формате JPEG, размещённые на популярных легитимных платформах — таких как OVH Images, Freeimage и Postimage. Несмотря на внешний вид и корректные заголовки JPEG, файлы содержат вредоносный код, в том числе скрипты оболочки и инструкции на языке C.
В отличие от стеганографии, где вредоносное содержимое прячется внутри изображения, Koske использует полиглот-файлы — они могут интерпретироваться как изображения или как исполняемые скрипты, в зависимости от среды, в которой открываются. Таким образом, пользователь видит безобидную фотографию панды, а интерпретатор Linux выполняет скрытый вредоносный код из конца файла.
Каждое изображение содержит свою полезную нагрузку. Первый компонент — это фрагмент на языке C, который компилируется прямо в системной памяти и работает как руткит в виде общего объекта .so. Второй — скрипт оболочки, запускающийся также из памяти, использующий стандартные утилиты Linux для достижения устойчивости и маскировки.
Для закрепления в системе злоумышленники используют задания cron, активирующие скрипты каждые 30 минут, а также пользовательские службы systemd, что позволяет Koske оставаться незамеченным в течение длительного времени. В AquaSec подчёркивают, что все действия вредоноса направлены на сокрытие следов и максимальное использование системных ресурсов без явных признаков внешнего вмешательства.
