Se detectó un malware previamente desconocido, Lightning Framework, dirigido a sistemas Linux. El marco se puede usar para dispositivos de puerta trasera que usan SSH y entregar diferentes tipos de rootkits. Según Intezer, Lightning Framework es un malware modular que viene con capacidades pasivas y activas para comunicarse con el atacante. El malware abre SSH […]
Se detectó un malware previamente desconocido, Lightning Framework, dirigido a sistemas Linux. El marco se puede usar para dispositivos de puerta trasera que usan SSH y entregar diferentes tipos de rootkits.
Según Intezer, Lightning Framework es un malware modular que viene con capacidades pasivas y activas para comunicarse con el atacante.
El malware abre SSH en una máquina infectada y admite la configuración de comando y control maleable polimórfica. En la actualidad, los componentes a los que se hace referencia en el código fuente aún no se han descubierto.
El marco utiliza typosquatting y se disfraza como la contraseña de Seahorse GNOME y el administrador de claves de cifrado para evitar ser detectado en los sistemas infectados.
Arquitectura de malware
- Lightning Framework consta de dos módulos principales Lightning[.]Downloader y Lightning[.]Core.
- Lightening.Core es el módulo principal del marco, que recibe comandos (C2) y ejecuta sus complementos.
- Lightning[.]Downloader es un componente de descarga para descargar e instalar otros módulos y complementos.
En cuanto a los complementos descargados, el marco admite múltiples complementos, incluidos Linux.Plugin.RootkieHide, Linux.Plugin.Kernel y Linux.Plugin.Lightning.iptraf, entre otros.
El módulo Lightening.Core (kkdmflush) utiliza una serie de técnicas para enmascarar los artefactos para que no se detecten durante más tiempo y lograr la persistencia.
Los métodos para ocultar incluyen la manipulación de las marcas de tiempo de los artefactos maliciosos con el paso del tiempo y la ocultación de su ID de proceso (PID) y los puertos de red relacionados mediante uno de los rootkits implementados.
Para persistencia, crea un script llamado elastisearch en la ubicación /etc/rc[.]d/init[.]d/ que se ejecuta cada vez que el sistema arranca para ejecutar el módulo de descarga y volver a infectar el dispositivo.
Artículos relacionados
Nuevas aplicaciones maliciosas para Android instaladas 10 millones de veces desde Google Play
28 de julio de 2022Un nuevo grupo de aplicaciones maliciosas de Android que contienen adware y malware, se encontró en Play Store. Estas apps se han instalado cerca de 10 millones de veces en dispositivos móviles.
