Un malware per Linux mai visto prima è stato definito un “coltellino svizzero” per la sua architettura modulare e la sua capacità di installare rootkit.
Questa minaccia Linux mai rilevata prima, chiamata Lightning Framework da Intezer, è dotata di una pletora di funzionalità che la rendono uno dei framework più intricati sviluppati per colpire i sistemi Linux.
“Il framework dispone di funzionalità sia passive che attive per la comunicazione con l’attore della minaccia, tra cui l’apertura di SSH su una macchina infetta e una configurazione di comando e controllo malleabile e polimorfa“, ha dichiarato Ryan Robinson, ricercatore di Intezer, in un nuovo rapporto pubblicato.
Il malware è costituito da un downloader (“kbioset”) e da un modulo centrale (“kkdmflush“), il primo dei quali è progettato per recuperare almeno sette diversi plugin da un server remoto che vengono successivamente invocati dal componente centrale.
Inoltre, il downloader è anche responsabile della persistenza del modulo principale del framework. “La funzione principale del modulo downloader è quella di recuperare gli altri componenti ed eseguire il modulo principale“, ha spiegato Robinson.
Il modulo principale, da parte sua, stabilisce un contatto con il server di comando e controllo (C2) per recuperare i comandi necessari all’esecuzione dei plugin, avendo cura di nascondere la propria presenza nella macchina compromessa.
Alcuni dei principali comandi ricevuti dal server consentono al malware di rilevare le impronte digitali della macchina, eseguire comandi di shell, caricare file sul server C2, scrivere dati arbitrari su file e persino aggiornare e rimuovere se stesso dall’host infetto.
Inoltre, il malware imposta la persistenza creando uno script di inizializzazione che viene eseguito all’avvio del sistema, consentendo di fatto l’avvio automatico del downloader.
“Lightning Framework è un malware interessante, poiché non è comune vedere un framework così grande sviluppato per colpire Linux“, ha sottolineato Robinson.
