Новый способ атаки на Linux позволяет загрузить уже готовый репозиторий в систему

Исследователи Sysdig обнаружили , что хакеры используют open-source утилиту Linux PRoot в атаках BYOF (BRYOF-атака, Bring Your Own Filesystem), чтобы обеспечить согласованный репозиторий вредоносных инструментов, которые работают во многих дистрибутивах Linux.

PRoot — это утилита с открытым исходным кодом, которая позволяет пользователю настроить изолированную корневую файловую систему в Linux. В обнаруженных атаках хакер использует PRoot для развертывания вредоносной файловой системы на уже скомпрометированных системах, которые включают инструменты сетевого сканирования - «masscan» и «nmap», криптомайнер XMRig и их файлы конфигурации.

Файловая система содержит все необходимое для атаки, аккуратно упакованное в сжатый Gzip tar-файл со всеми необходимыми зависимостями, загруженный из доверенных служб облачного хостинга, таких как DropBox.

Вредоносная гостевая файловая система

Поскольку PRoot компилируется статически и не требует никаких зависимостей, злоумышленник просто загружает предварительно скомпилированный двоичный файл из GitLab и монтирует его в загруженной и извлеченной файловой системе. В большинстве случаев киберпреступники распаковывали файловую систему в «/tmp/Proot/», а затем активировали криптомайнер XMRig.

По словам исследователей, хакер может использовать PRoot для загрузки других полезных нагрузок помимо XMRig, что потенциально может нанести более серьезный ущерб взломанной системе. Наличие «masscan» в файловой системе вредоносного ПО указывает на то, что хакеры планируют взломать также и другие системы на взломанной машине.

Использование утилиты PRoot делает эти атаки независимыми от платформы и распространения, что делает их более эффективными и незаметными. Кроме того, предварительно настроенная файловая система PRoot позволяет киберпреступнику использовать набор инструментов во многих конфигурациях ОС без необходимости переноса своих вредоносных программ на целевую архитектуру или включения зависимостей и инструментов сборки.

Атаки с использованием PRoot позволяет злоумышленнику не думать об архитектуре или дистрибутиве цели, поскольку этот инструмент устраняет проблемы с совместимостью исполняемых файлов, настройкой среды и выполнением вредоносных программ. Такие атаки убирают необходимость настройки среды, и позволяют хакеру быстро масштабировать свои вредоносные кампании.