Intezer Labsは7月21日(米国時間)、「Lightning Framework: New Undetected “Swiss Army Knife” Linux Malware」において、Linuxを標的とした未検出のマルウェアについて伝えた。Intezer Labsのセキュリティ研究者であるRyan Robinson氏は、この未知のマルウェアを分析した結果、まるでスイスのアーミーナイフのようだと表している。
「Lightning Framework」と呼ばれるLinuxをターゲットとした未知のマルウェアには、モジュラープラグインとルートキットをインストールする能力が備わっているという。Linuxを攻撃するために開発された最も複雑なフレームワークの1つとなっており、感染したマシンでSSHを開くなど、脅威アクターと通信するためのパッシブとアクティブの両面の機能を有している。また順応性のあるコマンドアンドコントロール構成も提供しているとのことだ。
Lightning Frameworkはダウンローダーとコアモジュールで構成されており、多数のプラグインが含まれている。ダウンローダーはリモートサーバから少なくとも7種類のプラグインを取得し、コアコンポーネントによって呼び出されるよう設計されている。またフレームワークのメインモジュールの永続性を確立する役割も担っており、他のコンポーネントを取得し、コアモジュールを実行するとされている。
コアモジュールはLightning Frameworkのメインモジュールであり、C2サーバからコマンドを受信し、プラグインモジュールを実行する機能が提供されている。またモジュールの呼び出しスレッドの名前を変えることで、カーネルスレッドであるように見せかけることが分析によって明らかにされている。さらにシステムの起動時に実行されるスクリプトを作成することにより、永続性を確立するとしている。
Lightning FrameworkはLinuxをターゲットにした大規模なフレームワークの開発はあまり例がなく、興味深いマルウェアと報告されている。