È stato recentemente individuato un nuovo malware che colpisce i sistemi Linux, chiamato Lightning Network, che potrebbe essere impiegato per utilizzare backdoor sui dispositivi usando SSH e installare diversi rootkit. In pratica, si tratta di un malware modulare che offre funzionalità sia attive che passive per comunicare con la persona o il gruppo che ha lanciato l’attacco.

Composto da due moduli principali (Lightning[.]Downloader e Lightning[.]Core), Lightning Network apre SSH su una macchina infetta e può effettuare varie operazioni, anche ricevute dall’esterno. In particolare, Lightning[.]Downloader si occupa di scaricare e installare moduli e plugin, mentre Lightning[.]Core costituisce il modulo principale che riceve i comandi (C2) ed esegue i plugin. Per aggirare i controlli di sicurezza sulle macchine prese di mira, il framework usa il typosquatting mascherandosi come gestore di password e chiavi di crittografia di Seahorse GNOME.

Lightning[.]Core usa diversi metodi per mascherare gli artefatti, come la manomissione dei timestamp con il time stomping e l’occultamento dell’ID di processo (PID) e delle relative porte di rete usando uno dei rootkit distribuiti. Per fare in modo che queste operazioni siano persistenti, viene creato uno script chiamato elastisearch in /etc/rc[.]d/init[.]d/ che viene eseguito a ogni riavvio del sistema.

Vista la pericolosità di questo malware, che può fungere da backdoor e costituisce una seria minaccia per la sicurezza, vi consigliamo di fare particolarmente attenzione e installare una soluzione anti-malware affidabile.

Nella giornata di ieri, vi abbiamo parlato anche di come le patch correttive di Retbleed, vulnerabilità che colpisce i processori Intel da Skylake a Coffee Lake e AMD da Zen a Zen 2, già implementate all’interno del kernel 5.19, non saranno integrate nel kernel 32 bit, lasciando esposti all’attacco tutti i processori che lo utilizzano. Per ulteriori dettagli a riguardo, vi consigliamo di leggere il nostro precedente articolo dedicato.