Обнаружен ранее неизвестный бэкдор для Linux под названием Plague, который оставался незамеченным в течение года. Вредоносное программное обеспечение функционирует как модифицированный подключаемый модуль аутентификации (PAM), позволяя злоумышленникам похищать учетные данные, обходить аутентификацию для получения постоянного SSH-доступа и уничтожать все криминалистические следы своей активности.
Технология, которую эксплуатирует Plague, — это подключаемые модули аутентификации (Pluggable Authentication Modules, PAM). PAM представляет собой набор разделяемых библиотек, используемых для управления аутентификацией пользователей в приложениях и службах в средах Linux и UNIX. Поскольку модули PAM загружаются в привилегированные процессы аутентификации, внедрение вредоносного модуля предоставляет атакующим широкие возможности.
Бэкдор Plague создан в виде такого вредоносного модуля. Это позволяет ему перехватывать и похищать учетные данные пользователей в момент их ввода, а также полностью обходить системные проверки аутентификации. Такая глубокая интеграция в систему делает его невидимым для стандартных средств безопасности.
Для обеспечения скрытого доступа Plague использует статические учетные данные, которые позволяют злоумышленникам входить в систему без привлечения внимания. Бэкдор разработан таким образом, чтобы сохранять свою работоспособность и присутствие в системе даже после ее обновлений, что обеспечивает долгосрочную персистентность.
Программа активно сопротивляется анализу и обратному инжинирингу. Для этого в ней реализованы методы антиотладки и обфускация (запутывание) строк кода, что значительно усложняет изучение ее функциональности специалистами по кибербезопасности.
Ключевой особенностью Plague является способность стирать все свидетельства удаленной SSH-сессии. Для этого вредонос использует функцию
Чтобы скрыть выполняемые команды, бэкдор перенаправляет переменную окружения
Бэкдор был обнаружен специалистами компании по кибербезопасности Nextron Systems под руководством исследователя Пьера-Анри Пезье. Исследователи выявили несколько артефактов Plague на платформе VirusTotal.
Первая загрузка образца вредоносного ПО на VirusTotal датируется 29 июля 2024 года. На момент обнаружения ни один из антивирусных движков не детектировал эти файлы как вредоносные, что подтверждает их высокую степень скрытности.
Личность злоумышленников, стоящих за созданием Plague, на данный момент не установлена. Однако наличие нескольких различных образцов указывает на то, что вредоносное ПО находится в стадии активной разработки и совершенствования.
Глубокая интеграция Plague в основной стек аутентификации системы, многоуровневая обфускация и активное вмешательство в окружение для сокрытия следов делают его исключительно сложным для обнаружения традиционными инструментами безопасности. Это представляет серьезную угрозу для критически важных систем на базе Linux и UNIX.
Изображение носит иллюстративный характер
Технология, которую эксплуатирует Plague, — это подключаемые модули аутентификации (Pluggable Authentication Modules, PAM). PAM представляет собой набор разделяемых библиотек, используемых для управления аутентификацией пользователей в приложениях и службах в средах Linux и UNIX. Поскольку модули PAM загружаются в привилегированные процессы аутентификации, внедрение вредоносного модуля предоставляет атакующим широкие возможности.
Бэкдор Plague создан в виде такого вредоносного модуля. Это позволяет ему перехватывать и похищать учетные данные пользователей в момент их ввода, а также полностью обходить системные проверки аутентификации. Такая глубокая интеграция в систему делает его невидимым для стандартных средств безопасности.
Для обеспечения скрытого доступа Plague использует статические учетные данные, которые позволяют злоумышленникам входить в систему без привлечения внимания. Бэкдор разработан таким образом, чтобы сохранять свою работоспособность и присутствие в системе даже после ее обновлений, что обеспечивает долгосрочную персистентность.
Программа активно сопротивляется анализу и обратному инжинирингу. Для этого в ней реализованы методы антиотладки и обфускация (запутывание) строк кода, что значительно усложняет изучение ее функциональности специалистами по кибербезопасности.
Ключевой особенностью Plague является способность стирать все свидетельства удаленной SSH-сессии. Для этого вредонос использует функцию
unsetenv для удаления ключевых переменных окружения, а именно SSH_CONNECTION и SSH_CLIENT. Это лишает системных администраторов информации о факте и источнике подключения. Чтобы скрыть выполняемые команды, бэкдор перенаправляет переменную окружения
HISTFILE в системное устройство /dev/null. В результате история команд оболочки пользователя не сохраняется, что делает невозможным отслеживание действий злоумышленника внутри скомпрометированной системы. Совокупность этих техник не оставляет практически никаких криминалистических следов. Бэкдор был обнаружен специалистами компании по кибербезопасности Nextron Systems под руководством исследователя Пьера-Анри Пезье. Исследователи выявили несколько артефактов Plague на платформе VirusTotal.
Первая загрузка образца вредоносного ПО на VirusTotal датируется 29 июля 2024 года. На момент обнаружения ни один из антивирусных движков не детектировал эти файлы как вредоносные, что подтверждает их высокую степень скрытности.
Личность злоумышленников, стоящих за созданием Plague, на данный момент не установлена. Однако наличие нескольких различных образцов указывает на то, что вредоносное ПО находится в стадии активной разработки и совершенствования.
Глубокая интеграция Plague в основной стек аутентификации системы, многоуровневая обфускация и активное вмешательство в окружение для сокрытия следов делают его исключительно сложным для обнаружения традиционными инструментами безопасности. Это представляет серьезную угрозу для критически важных систем на базе Linux и UNIX.
