СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.05.2025
#Dev#ИБ#Инфра

Новый бэкдор Linux ELF: серьезная угроза для систем

Новый бэкдор Linux ELF: серьезная угроза для систем

22 апреля 2025 года команда MalwareHunterTeam зафиксировала опасный бэкдор для операционной системы Linux, который демонстрирует низкий уровень обнаружения. Этот вредоносный файл содержит два жестко закодированных IP-адреса, что подчеркивает его потенциальную угроза для безопасности.

Детали обнаружения

Анализ исполняемого файла с хэшем ea41b2bf1064efcb6196bb79b40c5158fc339a36a3d3ddee68c822d797895b4e показал, что вредоносное ПО представляет собой 64-разрядную программу на языке Си. Оно использует локальный прокси-сервер для выполнения полезной нагрузки из инфраструктуры злоумышленника через внешний прокси-сервер SOCKS5.

Механизм работы бэкдора

Бэкдор инициирует свою работу следующими шагами:

  • Проверяет переменную окружения _PROXY_SERVICE_CHILD для определения, запускается ли он как дочерний процесс.
  • Если переменная отсутствует, он разветвляет новый процесс, маскируя свою активность.
  • Устанавливает переменную _PROXY_SERVICE_CHILD и продолжает выполнение.
  • Ищет переменную среды BUILD_VER для сохранения номера порта подключения к локальному прокси-серверу.
  • Генерирует случайный номер порта, если переменная не задана.

Коммуникация и аутентификация

После установки локального прокси-сервера, вредоносная программа осуществляет следующие действия:

  • Привязывает сокет к localhost, направляя запросы через внешний прокси-сервер.
  • Подключается к прокси-серверу SOCKS5 по адресу 43.159.18.135:2333 и к серверу управления по адресу 119.42.148.187:2443.
  • Использует сгенерированный формат имени пользователя для аутентификации через прокси-сервер.
  • Обновляет установленное соединение, отслеживая поступающие данные.

Эволюция методов киберугроз

Помимо этого, был обнаружен похожий исполняемый файл, созданный на Golang, который также был настроен для обратной оболочки и использует тот же порт управления. Это свидетельствует о согласованной стратегии работы хакеров и их растущих навыках в разработке вредоносного ПО.

В целом, данные изменения демонстрируют эволюцию методов разработки и развертывания вредоносных программ, нацеленных на системы Linux, подчеркивая необходимость повышения уровня кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: