Sedexp è un malware per Linux sfuggito al rilevamento per 2 anni
Recentemente, è stato scoperto un malware chiamato “sedexp” che ha colpito i sistemi Linux, rimanendo inosservato per ben 2 anni!
Il malware “sedexp” è stato scoperto dalla società di gestione del rischio Stroz Friedberg, parte del gruppo Aon Insurance. Questo malware è stato attivo e non rilevato per circa 2 anni, a partire dal 2022. Secondo Stroz Friedberg, il malware è stato utilizzato per nascondere il codice di scraping delle carte di credito su server web compromessi, il che indica il coinvolgimento in attacchi a scopo finanziario.
Questo malware è particolarmente insidioso perché utilizza una tecnica di persistenza non ancora inclusa nel framework MITRE ATT&CK. Il framework MITRE ATT&CK è una base di conoscenza universalmente accessibile che raccoglie tattiche e tecniche utilizzate dagli avversari informatici, basate su osservazioni del mondo reale. Questo framework è utilizzato per sviluppare modelli di minaccia specifici e metodologie nel settore privato, nel governo e nella comunità dei prodotti e servizi di cybersecurity. Il framework MITRE ATT&CK è uno strumento potente per migliorare la sicurezza informatica di un’organizzazione. Aiuta a rilevare, prevenire e rispondere meglio alle minacce informatiche, garantendo che l’organizzazione sia ben preparata a proteggere le proprie risorse digitali e a reagire rapidamente e adeguatamente in caso di incidente.
Cos’è il Malware “sedexp”
Il malware “sedexp” è un software dannoso progettato per infettare i sistemi operativi Linux. La sua caratteristica principale è la capacità di rimanere nascosto per lunghi periodi, eludendo i sistemi di rilevamento tradizionali. Questo è possibile grazie a una tecnica di persistenza innovativa che non è ancora stata documentata nel framework MITRE ATT&CK.
Come Funziona “sedexp”
Il malware “sedexp” utilizza una serie di tecniche avanzate per infettare e mantenere il controllo sui sistemi Linux. Ecco una spiegazione dettagliata di come funziona:
- Infezione Iniziale: Il malware viene introdotto nel sistema tramite metodi comuni come phishing, download di software compromesso o vulnerabilità di sicurezza non patchate.
- Persistenza: Una volta infettato il sistema, “sedexp” utilizza una tecnica di persistenza non documentata per assicurarsi che rimanga attivo anche dopo il riavvio del sistema. Questo potrebbe includere la modifica di file di configurazione critici o l’installazione di servizi nascosti.
- Evasione del Rilevamento: “sedexp” è progettato per eludere i sistemi di rilevamento tradizionali. Utilizza tecniche di offuscamento del codice e altre strategie per nascondere la sua presenza.
Implicazioni per gli Utenti di Linux
La scoperta di “sedexp” evidenzia l’importanza di mantenere i sistemi Linux aggiornati e protetti. Anche se Linux è spesso considerato più sicuro rispetto ad altri sistemi operativi, non è immune agli attacchi. Gli utenti dovrebbero:
- Mantenere il Sistema Aggiornato: Assicurarsi che tutte le patch di sicurezza siano applicate tempestivamente.
- Utilizzare Software di Sicurezza: Implementare soluzioni di sicurezza che possano rilevare comportamenti anomali.
- Essere Cauti con i Download: Evitare di scaricare software da fonti non affidabili.
Come verificare se si è infetti
Per verificare se un sistema Linux è infetto dal malware “sedexp”, un utente può seguire questi passaggi:
Il malware “sedexp” utilizza regole di udev
per mantenere la persistenza. Puoi controllare se ci sono regole sospette nei seguenti percorsi:
/etc/udev/rules.d/
/lib/udev/rules.d/
Cerca regole che contengano condizioni come:
ACTION=="add"
, ENV{MAJOR}=="1"
, ENV{MINOR}=="8"
e RUN+="asedexpb run:+"
.
Per ulteriori approfondimenti tecnici fare riferimento alla fonte inclusa alla fine del testo.
Conclusione
Il malware “sedexp” rappresenta una minaccia significativa per i sistemi Linux, dimostrando che anche i sistemi considerati più sicuri possono essere vulnerabili. È essenziale che gli utenti di Linux adottino misure pro-attive per proteggere i loro sistemi e rimanere informati sulle ultime minacce di sicurezza.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.