Компания Aon обнаружилановый вирус для Linux под названием sedexp, который с 2022 года остается незамеченным благодаря уникальному методу скрытности. Вредоносное ПО позволяет злоумышленникам удаленно управлять зараженными устройствами и проводить атаки.
Sedexp примечателен тем, что использует правила udev для сохранения устойчивости на заражённых системах. Udev – это система, позволяющая автоматически выполнять определённые действия при изменении состояния устройств (подключение или отключение). Вредоносная программа добавляет своё правило в систему:
ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+”
Правило активируется при подключении нового устройства и проверяет, соответствует ли оно критериям /dev/random, что позволяет вирусу регулярно запускаться при старте системы. Вредоносное ПО также маскируется под легитимный процесс kdevtmpfs, что затрудняет обнаружение.
Вредоносное ПО также обладает способностью запускать Reverse Shell, что позволяет удалённо управлять заражённым компьютером. Также sedexp использует методы скрытия в памяти, чтобы оставаться невидимым для стандартных команд, таких как ls или find, и может изменять память для внедрения вредоносного кода или изменения поведения приложений. В расследуемых случаях такие методы использовались для скрытия веб-оболочек, изменённых конфигурационных файлов Apache и самого правила udev.
Согласно исследованию, вирус действует как минимум с 2022 года и был обнаружен в нескольких онлайн-песочницах, но его распознали только два антивируса на платформе VirusTotal. Также известно, что sedexp применялся для кражи данных кредитных карт на взломанных веб-серверах, что свидетельствует об использовании в атаках с кражей средств с платежных карт. Обнаружение sedexp показывает, как финансово мотивированные хакеры используют всё более сложные методы, выходя за рамки традиционных программ-вымогателей.