Вредоносное ПО обеспечивает хакерам функционал на уровне руткита.
В четверг исследователи из команды BlackBerry Threat Research & Intelligence совместно с исследователем безопасности компании Intezer Йоакимом Кеннеди опубликовали в блоге сообщение о вредоносном ПО, названном Symbiote из-за его "паразитической природы".
Команда обнаружила Symbiote несколько месяцев назад. Вредонос действует как библиотека разделяемых объектов (SO), которая загружается во все запущенные процессы через LD_PRELOAD, чем сильно отличается от типичных современных вредоносных программ для Linux , которые обычно пытаются скомпрометировать запущенные процессы. По словам исследователей, вредоносная библиотека разделяемых объектов паразитически компрометирует машину жертвы, а когда ее “когти” глубоко впиваются в систему, вредоносная программа начинает работать как руткит.
Первый образец вредоносного ПО датируется ноябрем 2021 года и, судя по всему, был разработан для атак на финансовые учреждения в Латинской Америке. Однако, поскольку вредоносная программа является новой и крайне скрытной, исследователи не уверены, используется ли Symbiote в каких-либо атаках.
Symbiote имеет несколько интересных особенностей. Например, вредоносная программа использует Berkeley Packet Filter (BPF) – метод отбора пакетов, позволяющий захватить необходимые сетевые пакеты, проходящие через любой интерфейс системы, и направить их на удаленную рабочую станцию для дальнейшего анализа.
"Когда администратор запускает любой инструмент для захвата пакетов на зараженном устройстве, в ядро внедряется байткод BPF, который определяет, какие пакеты должны быть захвачены", – пояснили в BlackBerry. "В этом процессе Symbiote добавляет свой байткод первым, чтобы отфильтровать сетевой трафик, который не должны видеть программы для захвата пакетов".
Одним из наиболее впечатляющих элементов Symbiote является скрытность. Вредоносная программа загружается перед другими динамическими объектами, что позволяет ей подключать определенные функции (включая libc и libpcap) и скрывать свое присутствие. Другие файлы, связанные с Symbiote, также скрыты, а его сетевые записи постоянно очищаются.
Кроме того, Symbiote может собирать учетные данные, подключая функцию чтения libc, а также облегчать удаленный доступ, используя функции подключаемого модуля аутентификации Linux (PAM). Доменные имена, связанные с Symbiote, выдают себя за крупные бразильские банки, а сервер маскируется под Федеральную полицию Бразилии.
Проанализировав код, исследователи назвали Symbiote совершенно новым, прежде не использовавшимся вредоносным ПО для Linux, поскольку его код был уникален.
Сбалансированная диета для серого вещества