Kimlik bilgilerini çalan ve kurban makinelere uzaktan erişime izin veren Linux sistemlerine saldıran yeni bir kötü amaçlı yazılım çeşidi, o kadar iyi kamufle oluyor ki, onu inceleyen araştırmacılar, hedefli veya daha büyük ölçekli saldırı kampanyalarında kullanılıp kullanılmadığı sonucuna varamadıklarını söylüyorlar.
Intezer ve BlackBerry’nin Araştırma ve İstihbarat Ekibi’nden güvenlik araştırmacıları, sözde Symbiote kötü amaçlı yazılımının, saf yürütülebilir bir dosya olmadığı için olağandışı olduğunu söylüyor: aslında, Linux’ta LD_Preload dosyasını kullanarak kendisini bir makinenin çalışan süreçlerine yükleyen paylaşılan bir nesne kitaplığı. Araştırmacılar, “Çalışan tüm süreçlere bulaştıktan sonra, tehdit aktörüne rootkit işlevselliği, kimlik bilgilerini toplama yeteneği ve uzaktan erişim yeteneği sağlıyor” diye yazdı. bir blog yazısı bu hafta.
Symbiote ilk kez 2021 yılının Kasım ayında görüldü ve o zamanlar Latin Amerika’daki finansal kurumlara saldırmak için yaratılmış gibi görünüyordu.
“Kötü amaçlı yazılım bir makineye bulaştıktan sonra, kendisini ve tehdit aktörü tarafından kullanılan diğer kötü amaçlı yazılımları gizler, bu da enfeksiyonların tespit edilmesini çok zorlaştırır. Virüs bulaşmış bir makinede canlı adli inceleme yapmak, tüm dosya, işlemler ve ağ nedeniyle hiçbir şey ortaya çıkmayabilir. kötü amaçlı yazılım, kötü amaçlı yazılım tarafından gizlenir. Rootkit özelliğine ek olarak, kötü amaçlı yazılım, tehdit aktörünün makinede herhangi bir kullanıcı olarak sabit kodlanmış bir parola ile oturum açması ve komutları en yüksek ayrıcalıklarla yürütmesi için bir arka kapı sağlar.” .
Kök kullanıcı takımını tespit etmek büyük bir zorluk olsa da araştırmacılar, kuruluşların anormal DNS isteklerini izlemesi gerektiğini söyledi. Ancak bunu tespit etmek için virüsten koruma ve uç nokta algılama ve yanıt araçlarına güvenmek tartışmalıdır: Araştırmacılar, “kullanıcı alanına” gömülü olduğu için rootkit tarafından tehlikeye atılabilir, diye uyardı.