Bolo vytvorených množstvo škodlivých vzoriek pre Windows Subsystém pre Linux (WSL) s cieľom dosiahnuť kompromisy Windows stroje, zdôrazňujúc záludnú metódu, ktorá umožňuje operátorom zostať pod radarom a zmariť detekciu populárnymi antimalvérovými nástrojmi.
„Odlišné obchodné remeslo“ označuje prvý prípad, keď sa zistilo, že aktér hrozby zneužíva WSL na inštaláciu následných užitočných dát.
„Tieto súbory fungovali ako zavádzače spúšťajúce užitočné zaťaženie, ktoré bolo buď vložené do vzorky alebo načítané zo vzdialeného servera a potom bolo vložené do bežiaceho procesu pomocou Windows Volania API,“ uviedli výskumníci z Lumen Black Lotus Labs v správe zverejnenej vo štvrtok.
Windows Subsystém pre Linux, spustený v auguste 2016, je vrstva kompatibility, ktorá je navrhnutá tak, aby spúšťala binárne spustiteľné súbory Linuxu (vo formáte ELF) natívne na Windows platforma bez réžie tradičného virtuálneho počítača alebo nastavenia s dvojitým bootovaním.
Najstaršie artefakty pochádzajú z mája 3, 2021, so sériou Linuxových binárnych súborov nahrávaných každé dva až tri týždne až do 22. augusta 2021. Nielenže sú ukážky napísané v Pythone 3 a skonvertované na spustiteľný ELF pomocou PyInstaller, ale súbory sú tiež organizované tak, aby stiahli shell kód zo vzdialeného servera príkazov a ovládania a použili PowerShell na vykonávanie následných aktivít na infikovanom hostiteľovi.
Táto sekundárna užitočná záťaž “shellcode” sa potom vloží do behu Windows proces s použitím Windows API vyžaduje to, čo Lumen opísal ako „ELF Windows spustenie binárneho súboru”, ale nie skôr, ako sa vzorka pokúsi ukončiť podozrivé antivírusové produkty a analytické nástroje bežiace na počítači. A čo viac, použitie štandardných knižníc Pythonu robí niektoré varianty interoperabilné na oboch Windows a Linux.
“Doteraz sme identifikovali obmedzený počet vzoriek s iba jednou verejne smerovateľnou IP adresou, čo naznačuje, že táto aktivita je dosť obmedzená v rozsahu alebo potenciálne stále vo vývoji,” uviedli vedci. “Keďže kedysi zreteľné hranice medzi operačnými systémami sú stále nejasnejšie, aktéri hrozieb využijú nové útočné plochy.”
