febrero 12, 2025

El recién descubierto Lightning Framework ofrece una gran cantidad de funciones de piratería de Linux

Una calavera estilizada y tibias cruzadas hechas de unos y ceros.

La estructura del software se ha vuelto esencial para el desarrollo de casi cualquier software complejo en estos días. El marco web de Django, por ejemplo, agrupa todas las bibliotecas, archivos de imagen y otros componentes necesarios para crear e implementar rápidamente aplicaciones web, lo que lo convierte en un pilar de empresas como Google, Spotify y Pinterest. Los marcos proporcionan una plataforma que realiza funciones comunes, como el registro y la autenticación compartidos en un ecosistema de aplicaciones.

La semana pasada, los investigadores de la firma de seguridad Intezer revelaron Lightning Framework, un marco de malware modular para Linux que no se ha documentado hasta ahora. Lightning Framework es un malware posterior a la explotación, lo que significa que se instala después de que un atacante ya haya obtenido acceso a una máquina objetivo. Una vez instalado, puede proporcionar algunas de las mismas eficiencias y velocidad a los compromisos de Linux que Django proporciona para el desarrollo web.

“Es raro ver un marco tan intrincado desarrollado para apuntar a los sistemas Linux”, escribió en una publicación Ryan Robinson, investigador de seguridad de Intezer. “Lightning es un marco modular que encontramos que tiene una gran cantidad de funciones y la capacidad de instalar múltiples tipos de rootkits, así como la capacidad de ejecutar complementos”.

entero

Lightning consiste en un descargador llamado Lightning.Downloader y un módulo principal llamado Lightning.Core. Se conectan a un servidor de comando y control designado para descargar software y recibir comandos, respectivamente. Luego, los usuarios pueden ejecutar cualquiera de al menos siete módulos que hacen todo tipo de cosas nefastas. Las características incluyen comunicaciones pasivas y activas con el actor de amenazas, incluida la apertura de un caparazón seguro en la máquina infectada y un comando polimórfico maleable.

El marco tiene capacidades pasivas y activas para comunicarse con el actor de amenazas, incluida la apertura de SSH en una máquina infectada y soporte para conectarse a servidores de comando y control utilizando perfiles maleables. Los marcos de malware han existido durante años, pero no hay muchos que brinden un soporte tan completo para piratear máquinas Linux.

En un correo electrónico, Robinson afirmó que Intezer encontró el malware en VirusTotal. El escribio:

La entidad que lo presentó parece estar vinculada a una organización manufacturera china que produce pequeños electrodomésticos. Lo encontramos sobre la base de otros correos del mismo remitente. Detecté la huella digital del servidor que usamos para identificar a la empresa y en realidad estaban usando Centos (para el cual se compiló el malware). Pero eso aún no es lo suficientemente sólido como para concluir que ellos eran los objetivos o estaban infectados con el malware. No hemos aprendido nada nuevo de la publicación. Lo ideal que esperamos encontrar es uno de los perfiles de configuración C2 maleables cifrados. Nos daría a los CIO de la red para pivotar.

Intezer logró obtener partes del marco pero no todas. A partir de los archivos que los investigadores de la empresa pudieron analizar, pudieron deducir la presencia de otros módulos. La empresa proporcionó el siguiente resumen:

Nombre de pila nombre en disco Descripción
Lightning.Downloader kbioset El módulo persistente que descarga el módulo principal y sus complementos.
Relámpago Núcleo kkdmflush El módulo principal de Lightning Framework
Linux.Plugin.Lightning.SsHijacker susurro Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie.
Linux.Complemento.Lightning.Sshd calzado OpenSSH con claves privadas y hosts cifrados
Linux.Complemento.Lightning.Nethogs nethoogs Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Presumiblemente el software de Nethogs
Linux.Complemento.Lightning.iftop si es demasiado Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Presumiblemente el software iftop
Linux.Complemento.Lightning.iptraf iptraof Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Presumiblemente el software IPTraf
Linux.Plugin.RootkieHide libsystemd.so.2 Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Rootkit LD_PRELOAD
Linux.Complemento.Kernel elastisearch.ko Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Rootkit LKM

Hasta el momento, no hay instancias conocidas de Lightning Framework que se utilicen activamente en la naturaleza. Además, dada la abundancia de funciones disponibles, el sigilo de última generación es, sin duda, parte del paquete.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *