Специалисты по кибербезопасности из AquaSec выявили принципиально новый тип вредоносного программного обеспечения для операционных систем Linux. Малварь, получившая название Koske, демонстрирует признаки разработки с применением технологий искусственного интеллекта и использует необычный метод доставки полезной нагрузки через JPEG-изображения с пандами.
Технические особенности и методы внедрения
Koske представляет собой высокосложную адаптивную угрозу, основной целью которой является развертывание оптимизированных криптомайнеров для процессоров и видеокарт. Исследователи отмечают, что поведенческие паттерны малвари указывают на возможное использование больших языковых моделей (LLM) или автоматизированных фреймворков в процессе разработки.
Первоначальное проникновение в систему осуществляется через эксплуатацию неправильных конфигураций JupyterLab, что позволяет злоумышленникам выполнять произвольные команды в целевой среде. После получения доступа атакующие загружают два специально подготовленных JPEG-изображения с пандами, размещенные на легитимных хостинг-сервисах, включая OVH images, freeimage и postimage.
Инновационная технология polyglot-файлов
Ключевой особенностью Koske является отказ от традиционной стеганографии в пользу технологии polyglot-файлов. Эти файлы способны интерпретироваться различными приложениями как разные форматы данных. В данном случае один файл может восприниматься как обычное JPEG-изображение или как исполняемый скрипт, в зависимости от обрабатывающего приложения.
Каждое изображение панды содержит корректные заголовки формата JPEG, обеспечивающие нормальное отображение картинки, а также встроенные shell-скрипты и код на языке C. При просмотре пользователь видит безобидное изображение милой панды, тогда как интерпретатор скриптов выполняет вредоносный код, добавленный в конец файла.
Механизм работы и полезная нагрузка
Архитектура Koske предусматривает параллельное выполнение двух типов полезной нагрузки из каждого изображения. Первая полезная нагрузка представляет собой код на языке C, который записывается непосредственно в оперативную память, компилируется и выполняется как shared object-файл (.so), функционируя в качестве руткита.
Вторая составляющая — это shell-скрипт, также выполняющийся из памяти и использующий стандартные системные утилиты Linux для обеспечения скрытности и минимизации цифровых следов. Скрипт реализует множество функций для обеспечения устойчивости подключения и обхода сетевых ограничений.
Адаптивные возможности и атрибуция
Malware демонстрирует высокую степень автоматизации: перезаписывает конфигурационный файл /etc/resolv.conf для использования DNS-серверов Cloudflare и Google, защищает его атрибутом chattr +i, сбрасывает правила iptables и очищает прокси-переменные системы. Дополнительно запускается специализированный модуль для брутфорса рабочих прокси-серверов.
Исследователи обнаружили в коде следы сербских IP-адресов и фраз, а также использование словацкого языка в GitHub-репозитории с майнерами, однако точная атрибуция атак остается неопределенной.
Криптомайнинг и адаптация к системе
Перед развертыванием Koske проводит детальную оценку аппаратных возможностей хоста, анализируя характеристики процессора и видеокарты для выбора оптимального майнера. Система поддерживает добычу 18 различных криптовалют, включая Monero, Ravencoin, Zano, Nexa и Tari.
При недоступности определенной валюты или пула вредонос автоматически переключается на резервные варианты из встроенного списка, что свидетельствует о высокой степени автоматизации и гибкости архитектуры.
Появление Koske знаменует новый этап в эволюции Linux-угроз, демонстрируя потенциал применения ИИ-технологий для создания более изощренного вредоносного ПО. Организациям необходимо усилить мониторинг конфигураций JupyterLab, внедрить комплексные решения для анализа подозрительных файлов и регулярно обновлять системы защиты для противодействия подобным адаптивным угрозам.
