Symbiont, ontdekt door Blackberry-onderzoekers, is een nieuwe Linux-malware die is ontworpen om alle lopende processen op geïnfecteerde machines te infecteren. De malware is in staat om accountgegevens te stelen en achterdeurtoegang te verlenen aan de operators.
Een kijkje in Symbiote Linux Malware
De eerste detectie van de malware vond plaats in november 2021, toen het werd ontdekt bij aanvallen op financiële organisaties in Latijns-Amerika. De malware kan zichzelf verbergen na de infectie, waardoor het erg moeilijk te detecteren is.
Bovendien, de onderzoekers zeiden dat zelfs live forensisch onderzoek niets zou kunnen onthullen als alle bestanden, processen, en netwerkartefacten zijn verborgen (a.k.a. Rootkit-mogelijkheden). Naast de rootkit, de malware biedt ook een achterdeur waardoor het voor dreigingsactoren mogelijk is om als elke gebruiker op de besmette machine in te loggen via een hardgecodeerd wachtwoord. De volgende stap is het uitvoeren van opdrachten met de hoogste privileges.
“Omdat het extreem ontwijkend is, een Symbiont-infectie zal waarschijnlijk "onder de radar vliegen". In ons onderzoek, we hebben niet genoeg bewijs gevonden om te bepalen of Symbiote wordt gebruikt in zeer gerichte of brede aanvallen,”Aldus het rapport.
Een van de meest merkwaardige technische aspecten van de malware is het zogenaamde Berkeley Packet Filter (BPF) aansluiten functionaliteit. Hoewel dit niet de eerste Linux-malware is die deze functionaliteit gebruikt, in het geval van Symbiote wordt de hooking gebruikt om kwaadaardig netwerkverkeer op de gecompromitteerde machine te verbergen. Andere voorbeelden van malware die de functionaliteit gebruikt, zijn onder meer geavanceerde achterdeuren die worden toegeschreven aan de Equation-bedreigingsgroep.
Wanneer een beheerder een hulpprogramma voor het vastleggen van pakketten start, de BPF-bytecode wordt in de kernel geïnjecteerd en bepaalt welke pakketten moeten worden vastgelegd.
"In dit proces, Symbiote voegt eerst zijn bytecode toe, zodat het netwerkverkeer kan filteren waarvan het niet wil dat de software voor het vastleggen van pakketten het ziet,"voegden de onderzoekers eraan toe".
De volledige technische openbaarmaking is beschikbaar in het originele Blackberry-rapport. Andere voorbeelden van recente malware-samples gericht op de Linux-omgeving zijn onder meer: Cheerscrypt-ransomware en SysJoker achterdeur.