Symbiont, ontdekt door Blackberry-onderzoekers, is een nieuwe Linux-malware die is ontworpen om alle lopende processen op geïnfecteerde machines te infecteren. De malware is in staat om accountgegevens te stelen en achterdeurtoegang te verlenen aan de operators.
Een kijkje in Symbiote Linux Malware
De eerste detectie van de malware vond plaats in november 2021, toen het werd ontdekt bij aanvallen op financiële organisaties in Latijns-Amerika. De malware kan zichzelf verbergen na de infectie, waardoor het erg moeilijk te detecteren is.
Bovendien, de onderzoekers zeiden dat zelfs live forensisch onderzoek niets zou kunnen onthullen als alle bestanden, processen, en netwerkartefacten zijn verborgen (a.k.a. Rootkit-mogelijkheden). Naast de rootkit, de malware biedt ook een achterdeur waardoor het voor dreigingsactoren mogelijk is om als elke gebruiker op de besmette machine in te loggen via een hardgecodeerd wachtwoord. De volgende stap is het uitvoeren van opdrachten met de hoogste privileges.
“Omdat het extreem ontwijkend is, een Symbiont-infectie zal waarschijnlijk "onder de radar vliegen". In ons onderzoek, we hebben niet genoeg bewijs gevonden om te bepalen of Symbiote wordt gebruikt in zeer gerichte of brede aanvallen,”Aldus het rapport.
Een van de meest merkwaardige technische aspecten van de malware is het zogenaamde Berkeley Packet Filter (BPF) aansluiten functionaliteit. Hoewel dit niet de eerste Linux-malware is die deze functionaliteit gebruikt, in het geval van Symbiote wordt de hooking gebruikt om kwaadaardig netwerkverkeer op de gecompromitteerde machine te verbergen. Andere voorbeelden van malware die de functionaliteit gebruikt, zijn onder meer geavanceerde achterdeuren die worden toegeschreven aan de Equation-bedreigingsgroep.
Wanneer een beheerder een hulpprogramma voor het vastleggen van pakketten start, de BPF-bytecode wordt in de kernel geïnjecteerd en bepaalt welke pakketten moeten worden vastgelegd.
"In dit proces, Symbiote voegt eerst zijn bytecode toe, zodat het netwerkverkeer kan filteren waarvan het niet wil dat de software voor het vastleggen van pakketten het ziet,"voegden de onderzoekers eraan toe".
De volledige technische openbaarmaking is beschikbaar in het originele Blackberry-rapport. Andere voorbeelden van recente malware-samples gericht op de Linux-omgeving zijn onder meer: Cheerscrypt-ransomware en SysJoker achterdeur.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: