Эксперты Intezer обнаружили ранее неизвестный вредоносный инструмент, включающий в себя руткит уровня пользователя, троян и установочный скрипт. По мнению экспертов, авторы комплекта, получившего название HiddenWasp, использовали части кода других зловредов, чтобы получить необходимый набор функций. Новый штамм плохо детектируется антивирусными системами и, скорее всего, используется в целевых атаках как полезная нагрузка второго уровня на уже скомпрометированных Linux-машинах.

Исследователи не смогли определить механизм заражения, который используют создатели зловреда. Известно, что на целевом хосте разворачивается дроппер, который создает аккаунт пользователя с заранее заданными логином и паролем, а также обращается к файловому серверу для доставки других модулей комплекта. Специалисты отмечают азиатские корни вредоносной программы — она использует хранилище в Гонконге, а названия некоторых файлов указывают на китайскую компанию, оказывающую услуги по криминалистической экспертизе.

В отличие от других подобных разработок, HiddenWasp не ориентирован на DDoS-атаки или загрузку майнеров криптовалюты. По мнению ИБ-специалистов, этот инструмент предназначен для перехвата управления скомпрометированной машиной. Совместная работа трояна и руткита дает нападающим возможность скрытно загружать на зараженный компьютер файлы, копировать содержимое дисков, запускать программы и принудительно завершать активные процессы в зараженной системе.

Аналитики отмечают, что в коде HiddenWasp найдены фрагменты, позаимствованные у других зловредов. Так, некоторые переменные окружения указывают на родство с opensource-руткитом Azazel, алгоритм расшифровки строк, необходимых для работы руткита, — на связь с Mirai, а отдельные хэши MD5 совпадают с секретными последовательностями, включенными в имплант Elknot. Состав чужих компонентов также позволяет судить о происхождении комплекта — большая часть из них связана с китайскими преступными группировками.

По своей структуре вредоносный пакет более всего напоминает Linux-вариант трояна Winnti, первые атаки которого датируются 2015 годом. В нем, так же как и в HiddenWasp, отдельный модуль отвечает за маскировку вредоносных действий в системе, а другой обеспечивает бэкдор.

Категории: Аналитика, Вредоносные программы