Shikitegaは強力なMetasploitである「Mettle」をダウンロードして実行することで、Webカメラ制御やシェルコマンドの実行など、様々な攻撃を可能にする。
攻撃のプロセスは、「Shikata Ga Nai」(仕方がない)と名付けられたポリモーフィックXOR加法的フィードバックエンコーダを使ってデコードループを実行し、最終的なシェルコードペイロードがデコードされて実行されるまで、デコードを続ける。
デコードが完了すると、シェルコードが実行されてマルウェアのサーバに接続し、追加のコマンドを受信する。
こうして段階的に権限を昇格させていき、暗号資産マイナーをルートとしてダウンロードする。
一連のコマンドはメモリ内で自動的に実行されるため、ウイルス対策ツールによる検出が困難という。
https://image.itmedia.co.jp/news/articles/2209/12/l_yu_shikitega.jpg
Shikitegaの操作プロセス(画像:AT&T)
AT&Tによると、Linuxを標的とするマルウェアとランサムウェアは650%近く増加し、2022年上半期には過去最高に達したという。
同社は管理者に対し、セキュリティアップデートで常にソフトウェアを最新の状態に保つこと、すべてのエンドポイントにウイルス対策やEDRをインストールすること、バックアップシステムを使ってサーバファイルをバックアップすることを推奨している。
□関連リンク
Shikitega - New stealthy malware targeting Linux | AT&T Alien Labs(英文)
https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux
2022年09月12日 07時13分 公開
ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2209/12/news063.html