ELF fájlok, a növekvő felhőbiztonsági fenyegetések
A Unit 42 kutatói egy növekvő felhőbiztonsági fenyegetést azonosítottak: Linux Executable and Linkage Format (ELF) fájlok, amelyeket a kiberszereplők a felhőinfrastruktúrák ellen fejlesztenek. A Unit 42 előrejelzése szerint a felhőkörnyezeteket célzó kiberszereplők egyre összetettebb eszközöket fognak használni a kihasználásaikban. Ez magában foglalja majd a meglévő eszközök átdolgozását, javítását és testre szabását, amelyek történelmileg csak a Linux operációs rendszereket céloztak meg. A kiberszereplők által használt ELF rosszindulatú szoftverek mintái között várhatóan lesznek backdoor-ok, dropperek, RAT-ok, wiper-ek és sérülékenységet kihasználó bináris programok.
A vállalat felhőalapú fenyegetésekről szóló nemrégiben közzétett jelentése kimutatta, hogy a felhőalapú riasztások 2024-ben átlagosan 388%-kal növekedtek. Emellett a szervezetek 45%-a számolt be APT kibertevékenységek növekedéséről.
A Unit 42 elemzése során öt ELF alapú rosszindulatú szoftvercsaládot vizsgált, amelyeket felhőkörnyezetek ellen használtak kiberszereplők. A blog a rosszindulatú bináris programok típusait vizsgálja, amelyeket a kiberszereplők a Linux alapú környezetek elleni támadásokhoz fejlesztenek. Az ELF fájlok a Linux operációs rendszereken belül a futtatható fájlok általános szabványos fájlformátuma. A kutatók becslése szerint a felhőkörnyezetekben található példányok 70-90%-a a Linux operációs rendszer különböző változatain alapulnak. Bár az ELF alapú rosszindulatú programok nem újak, ezek a rosszindulatú programcsaládok és az általuk alkalmazott támadási technikák típusai valószínűleg a felhőinfrastruktúrákra fognak koncentrálni a közeljövőben.
A Unit 42 által azonosított ELF alapú rosszindulatú programok közé tartozik a NoodleRAT, a Winnti, az SSHdInjector, a Pygmy Goat és az AcidPour. Ezek az ELF bináris programok olyan technikákat használnak, mint a dinamikus linker eltérítés, amely során visszaélnek az LD_PRELOAD környezeti változóval. Ez lehetővé teszi a kiberszereplők számára a perzisztencia létrehozását, a rejtett C2 csatornák fenntartását, az adatok rejtett kiszivárogtatását és a kritikus adatok törlésével a műveletek befolyásolását.
