SymbioteLinuxマルウェアがレーダーの下を飛ぶ
BlackBerry Threat Researchのセキュリティ専門家は、Symbioteと呼ばれるLinuxマルウェアの新種に関する共同研究投稿を公開しました。
このマルウェアは2022年初頭に最初に発見されました。その主なハイライトは、検出がいかに難しいかということです。チームは、Symbioteをシステム上で検出することを「ほぼ不可能」と呼んでいます。
Symbioteは、すでに実行中のプロセスを危険にさらそうとするほとんどのLinuxマルウェアとは対照的に、ターゲットシステム上の共有オブジェクトライブラリのように機能します。代わりに、VIA_PRELOADを使用して、被害者のシステムで実行中のすべてのプロセスにSymbioteがロードされます。
完全に展開されると、Symbioteはそのオペレーターにルートキット機能を提供します。このマルウェアは、Berkeley Packet Filterフックを利用して、感染したシステム上の悪意のあるパケットトラフィックをマスクできるようにします。研究者は、システム管理者がパケットキャプチャおよび監視ツールを使用して悪意のあるアクティビティを探しようとすると、Symbioteがカーネルにキャプチャするパケットを指示するBerkeley Packet Filterバイトコードを挿入し、マルウェアがどのトラフィックが捕獲。
Symbioteは非常に目立たないようにし、システム上の他のすべての共有オブジェクトの前にプリロードされるため、非表示のままになります。また、侵害されたシステムから資格情報を収集することもできます。
Symbioteマルウェアの最初に発見されたサンプルは、2021年後半にさかのぼり、南アメリカの銀行機関を標的にするために使用された可能性があります。