Фахівці з AquaSec зафіксували появу принципово нового типу шкідливого програмного забезпечення для Linux-систем. Малвар під назвою Koske демонструє ознаки розробки з використанням штучного інтелекту та застосовує унікальний метод доставки корисного навантаження через JPEG-зображення з пандами, що знаменує новий етап у розвитку кіберзагроз.
Технічна архітектура та векторі атак
Koske являє собою високософістиковану адаптивну загрозу, основною метою якої є розгортання оптимізованих криптомайнерів для центральних та графічних процесорів. Поведінкові патерни шкідливого ПЗ вказують на можливе використання великих мовних моделей (LLM) або автоматизованих фреймворків у процесі створення.
Початкове проникнення в систему відбувається через експлуатацію неправильних конфігурацій JupyterLab, що дозволяє зловмисникам виконувати довільні команди в цільовому середовищі. Після отримання доступу атакуючі завантажують два спеціально підготовлених JPEG-зображення з пандами, розміщені на легітимних хостинг-сервісах, включаючи OVH images, freeimage та postimage.
Революційна технологія polyglot-файлів
Ключовою особливістю Koske є відмова від традиційної стеганографії на користь технології polyglot-файлів. Ці файли здатні інтерпретуватися різними додатками як різні формати даних. У цьому випадку один файл може сприйматися як звичайне JPEG-зображення або як виконуваний скрипт, залежно від програми, що його обробляє.
Кожне зображення панди містить коректні заголовки формату JPEG, що забезпечують нормальне відображення картинки, а також вбудовані shell-скрипти та код мовою C. При перегляді користувач бачить нешкідливе зображення милої панди, тоді як інтерпретатор скриптів виконує зловмисний код, доданий наприкінці файлу.
Механізм роботи та корисне навантаження
Архітектура Koske передбачає паралельне виконання двох типів корисного навантаження з кожного зображення. Перше навантаження являє собою код мовою C, який записується безпосередньо в оперативну пам’ять, компілюється та виконується як shared object-файл (.so), функціонуючи як руткіт.
Друга складова – це shell-скрипт, який також виконується з пам’яті та використовує стандартні системні утиліти Linux для забезпечення прихованості й мінімізації цифрових слідів. Скрипт реалізує численні функції для забезпечення стійкості підключення та обходу мережевих обмежень.
Адаптивні можливості та атрибуція
Малвар демонструє високий ступінь автоматизації: переписує конфігураційний файл /etc/resolv.conf для використання DNS-серверів Cloudflare та Google, захищає його атрибутом chattr +i, скидає правила iptables та очищає проксі-змінні системи. Додатково запускається спеціалізований модуль для брутфорсу робочих проксі-серверів.
Дослідники виявили в коді сліди сербських IP-адрес та фраз, а також використання словацької мови в GitHub-репозиторії з майнерами, проте точна атрибуція атак залишається невизначеною.
Криптомайнінг та адаптація до системи
Перед розгортанням Koske проводить детальну оцінку апаратних можливостей хоста, аналізуючи характеристики процесора та відеокарти для вибору оптимального майнера. Система підтримує видобуток 18 різних криптовалют, включаючи Monero, Ravencoin, Zano, Nexa та Tari.
При недоступності певної валюти або пулу шкідлива програма автоматично перемикається на резервні варіанти з вбудованого списку, що свідчить про високий ступінь автоматизації та гнучкості архітектури.
Поява Koske позначає новий етап в еволюції Linux-загроз, демонструючи потенціал застосування ШІ-технологій для створення більш витонченого шкідливого ПЗ. Організаціям необхідно посилити моніторинг конфігурацій JupyterLab, впровадити комплексні рішення для аналізу підозрілих файлів та регулярно оновлювати системи захисту для протидії подібним адаптивним загрозам.