Hiddenwasp: Neuer Linux-Trojaner und -Rootkit
Entdeckt und getauft hat die Software eine Firma namens Intezer. Die weist in einem Blogpost darauf hin, dass Antivirenlösungen Hiddenwasp bislang nicht erkennen. Es handele sich bei Hiddenwasp zudem um einen klassischen Trojaner, ohne DDoS- und Cryptomining-Funktionalität.
Hiddenwasp besteht aus einem Deployment-Skript, einem Rootkit (das auf dem Azazel-Rootkit basiert) und einem Trojaner. Das Rootkit und der Trojaner arbeiten dabei zusammen: Erstes hilft letzterem, sich zu verstecken. Der Trojaner sorgt anders herum dafür, dass das Rootkit in Betrieb bleibt.
Angriffsszenarien
Die meisten Linux-Installationen laufen allerdings serverseitig und führen nicht automatisch beliebige Bashskripte aus. Linux-Desktop-Nutzer müssten hingegen explizit auf das Bashskript klicken, um den Trojaner auf den eigenen Rechner zu holen.
Die Entdecker des Trojaners schreiben daher auch, dass sie glauben, der Trojaner werde für gezielte Angriffe auf Systeme genutzt, die die Angreifer bereits unter Kontrolle haben. Weitere Details zu Hiddenwasp liefert der Blogpost auf der Intezer-Webseite.
Weiterführende Links:
linux-magazin.de: Hiddenwasp: Neuer Linux-Trojaner und -Rootkit