Lightning Framework - это новая необнаруженная вредоносная программа для Linux, похожая на швейцарский армейский нож, с модульными плагинами и возможностью установки руткитов.
Из года в год среды Linux становятся все более популярной мишенью для вредоносных программ, что обусловлено постоянным интересом угроз к этому пространству. Вредоносное ПО, нацеленное на среды Linux, резко возросло в 2021 году, при этом большое количество инноваций привело к появлению нового вредоносного кода, особенно в виде выкупных программ, троянов и ботнетов. С ростом использования облачных вычислений неудивительно, что инновации вредоносного ПО в этой сфере продолжают развиваться с бешеной скоростью.
Редко можно увидеть такую сложную структуру, разработанную для атак на системы Linux. Lightning - это обнаруженный нами модульный фреймворк, обладающий множеством возможностей, способный устанавливать несколько типов руткитов, а также запускать плагины. Фреймворк имеет как пассивные, так и активные возможности для связи с субъектом угрозы, включая открытие SSH на зараженной машине, а также полиморфную конфигурацию команд и управления. Мы публикуем этот блог в информационных целях. У нас нет всех файлов, на которые ссылается фреймворк, но мы надеемся, что этот выпуск поможет другим, если они обладают другими частями головоломки. Мы не наблюдали использования этой вредоносной программы в атаках в дикой природе.
Indicators of Compromise
SHA256
- 48f9471c20316b295704e6f8feb2196dd619799edec5835734fc24051f45c5b7
- fd285c2fb4d42dde23590118dba016bf5b846625da3abdbe48773530a07bcd1e
- ad16989a3ebf0b416681f8db31af098e02eabd25452f8d781383547ead395237
Sigma Detection Rules
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | title: Lightning Framework File Path status: experimental description: Detects creation of files related to Lightning Framework. author: Intezer references: - https://www.intezer.com logsource: product: linux category: file_create detection: selection1: TargetFilename|startswith: - '/usr/lib64/seahorses/' selection2: TargetFilename|contains: - 'kbioset' - 'cpc' - 'kkdmflush' - 'soss' - 'sshod' - 'nethoogs' - 'iftoop' - 'iptraof' condition: selection1 and selection2 falsepositives: - Unknown. |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | title: Lightning Default C2 Communication status: experimental description: Detects communication to default local ip for Lightning Framework author: Intezer references: - https://intezer.com logsource: category: firewall detection: select_outgoing: dst_ip: 10.2.22.67 dst_port: 33229 condition: select_outgoing falsepositives: - Unknown. |