Експерти з кібербезпеки компанії “Доктор Веб” виявили нову модифікацію небезпечного руткіта, який використовується для встановлення троянської програми-майнера Skidmap на скомпрометовані Linux-системи. Ця загроза становить особливу небезпеку для корпоративного сектору, оскільки націлена на потужні сервери та хмарні середовища.

Механізм роботи руткіта Skidmap

Руткіт реалізований як шкідливий модуль ядра Linux, що дозволяє йому ефективно приховувати діяльність майнера. Він перехоплює системні виклики та підміняє інформацію про завантаження процесора і мережеву активність, ускладнюючи виявлення зловмисної активності. Крім того, руткіт блокує запуск модулів ядра, які могли б виявити його присутність.

Вектор атаки та поширення

Дослідники встановили, що основним вектором атаки є вразливі сервери Redis. Протягом року на експериментальний сервер-приманку (honeypot) було зафіксовано від 10 000 до 14 000 спроб атак щомісяця. Зловмисники експлуатують слабкі місця в конфігурації Redis, особливо в версіях до 6.0, де відсутні механізми контролю доступу та шифрування.

Процес інфікування системи

Після компрометації сервера, атакуючі додають до системного планувальника cron завдання, які кожні 10 хвилин запускають скрипт для завантаження дроппера Linux.MulDrop.142 або Linux.MulDrop.143. Цей виконуваний файл перевіряє версію ядра ОС, відключає захисний модуль SELinux і розпаковує файли руткіта, майнера та кількох бекдорів.

Додаткові компоненти атаки

Окрім самого майнера, зловмисники встановлюють на заражену систему чотири бекдори та RAT-троян Linux.BackDoor.RCTL.2. Ці компоненти дозволяють зберігати дані про SSH-авторизації, створювати майстер-пароль для всіх облікових записів та здійснювати повний контроль над скомпрометованою машиною.

Складності виявлення та протидії

Виявлення прихованого руткітом майнера є нетривіальним завданням. За відсутності достовірних даних про споживання ресурсів, єдиними ознаками компрометації можуть бути надмірне енергоспоживання та підвищене тепловиділення серверів. Зловмисники також можуть налаштовувати майнер для оптимального балансу між продуктивністю та збереженням швидкодії обладнання.

Еволюція сімейства Skidmap проявляється в ускладненні схеми атаки, що значно ускладнює реагування на такі інциденти. Для захисту від подібних загроз критично важливо регулярно оновлювати програмне забезпечення, використовувати надійні конфігурації та впроваджувати багаторівневі системи захисту корпоративної інфраструктури.