Вирус sedexp 2 года властвует в сердце Linux

Компания Aon обнаружила новый вирус для Linux под названием sedexp, который с 2022 года остается незамеченным благодаря уникальному методу скрытности. Вредоносное ПО позволяет злоумышленникам удаленно управлять зараженными устройствами и проводить атаки.

Sedexp примечателен тем, что использует правила udev для сохранения устойчивости на заражённых системах. Udev — это система, позволяющая автоматически выполнять определённые действия при изменении состояния устройств (подключение или отключение). Вредоносная программа добавляет своё правило в систему:

ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"

Правило активируется при подключении нового устройства и проверяет, соответствует ли оно критериям /dev/random, что позволяет вирусу регулярно запускаться при старте системы. Вредоносное ПО также маскируется под легитимный процесс kdevtmpfs, что затрудняет обнаружение.

Вредоносное ПО также обладает способностью запускать Reverse Shell , что позволяет удалённо управлять заражённым компьютером. Также sedexp использует методы скрытия в памяти, чтобы оставаться невидимым для стандартных команд, таких как ls или find, и может изменять память для внедрения вредоносного кода или изменения поведения приложений. В расследуемых случаях такие методы использовались для скрытия веб-оболочек, изменённых конфигурационных файлов Apache и самого правила udev.

Согласно исследованию, вирус действует как минимум с 2022 года и был обнаружен в нескольких онлайн-песочницах, но его распознали только два антивируса на платформе VirusTotal. Также известно, что sedexp применялся для кражи данных кредитных карт на взломанных веб-серверах, что свидетельствует об использовании в атаках с кражей средств с платежных карт. Обнаружение sedexp показывает, как финансово мотивированные хакеры используют всё более сложные методы, выходя за рамки традиционных программ-вымогателей.