Securitybedrijf Intezer stuitte onlangs op het Lightning Framework. De organisatie beschrijft het framework als een “Zwitsers zakmes” voor ontwikkelaars van Linux malware.

Frameworks bieden een basis voor softwareontwikkeling. Het Lightning Framework is toegespitst op de ontwikkeling van Linux malware. Malware frameworks zijn veelvoorkomend, maar een focus op Linux is zeldzaam.

Er is op dit moment geen bewijs dat het Lightning Framework in de praktijk is gebruikt. De kans is aanwezig, want meerdere functies helpen de malware onder de radar te blijven.

Lightning Framework

Het framework bestaat uit een downloader (Lightning.Downloader) en een kernmodule (Lightning.Core). Beide modules verbinden met een command and control-server. De server loodst de bestanden en applicaties van een aanvaller naar het apparaat van een slachtoffer. Vervolgens kunnen aanvallers op afstand code uitvoeren.

Onderzoeker Ryan Robinson stelt in een blogpost dat het ongebruikelijk is om een malware-architectuur voor Linux pc’s te vinden. Robinson voegt toe dat het framework een schat aan functies biedt voor de installatie van kwaadaardige rootkits en plugins.

Tip: LockBit claimt ransomware-aanval op Italiaanse belastingdienst