Identificato nuovo malware che prende di mira i sistemi operativi basati su Linux. Un framework completo, in grado di espandersi da solo direttamente dal computer infetto
Un framework dannoso estremamente interessante e unico nel suo genere, per Linux. È stato scoperto dagli specialisti di Intezer che, per la sua architettura modulare e molte funzioni, è stato paragonato a un coltellino svizzero.
Lightning Framework un insieme di strumenti, tutto in uno
Si sta parlando del malevolo Lightning Framework, che consente agli aggressori di installare rootkit sui sistemi di destinazione. E a causa dell’abbondanza di funzioni, gli esperti lo hanno definito uno degli ambienti più complessi progettati per i sistemi Linux.
Il framework ha capacità di feedback degli intrusi sia passive che attive e una configurazione C2 flessibile polimorfica.
Il ricercatore Ryan Robinson ne ha descritto i dettagli, nel suo report.
Il fulcro dell’ecosistema malware è il downloader kbioset e il modulo principale kkdmflush, il primo dei quali è progettato per caricare almeno sette diversi plug-in da un server remoto, che vengono poi chiamati dal modulo principale.
Il modulo principale stesso, kkdmflush, comunica con il server di comando e controllo (C2) per ricevere i comandi necessari per eseguire i plugin e cerca anche di nascondere la sua presenza sulla macchina compromessa.
La funzionalità del malware consente di eseguire l’impronta digitale del sistema, eseguire comandi shell, caricare file sul server C2, scrivere dati arbitrari su un file e persino aggiornarsi e rimuoversi dall’host infetto.
Inoltre, viene creato uno script di inizializzazione che viene eseguito all’avvio del sistema, che in realtà consente al bootloader di avviarsi automaticamente.
Sebbene non sia chiaro e dimostrato ancora se questo malware sia stato adoperato per attacchi reali, gli esperti sono messi a dura prova dal fatto che la comparsa di Lightning Framework lo renda già il quinto ceppo di malware per Linux rilevato negli ultimi tre mesi dopo BPFDoor, Symbiote, Syslogk e OrBit.
Inoltre essendo un kit appena scoperto non ci sono molte risorse per il suo rilevamento. Il report di Intezer offre ad ogni modo alcuni degli indici di compromissione, utilizzabili per iniziare ad alimentare i propri prodotti di sicurezza.