Symbiote Linux Malware flyr under radaren

Sikkerhetseksperter med BlackBerry Threat Research publiserte et felles forskningsinnlegg om en ny stamme av Linux-malware, kalt Symbiote.

Skadevaren ble først oppdaget tidlig i 2022. Hovedhøydepunktet er hvor vanskelig det er å oppdage – teamet kaller Symbiote «nesten umulig» å oppdage på et system.

Symbiote fungerer som et delt objektbibliotek på målsystemet, i motsetning til de fleste Linux-malware som vil forsøke å kompromittere allerede kjørende prosesser. I stedet lastes Symbiote på alle kjørende prosesser på offersystemet ved å bruke VIA_PRELOAD.

Når den er fullstendig distribuert, tilbyr Symbiote rootkit-funksjoner til sine operatører. Skadevaren bruker Berkeley Packet Filter hooking, som lar den maskere ondsinnet pakketrafikk på et infisert system. Forskerne forklarte at hvis en systemadministrator forsøker å bruke et pakkefangst- og overvåkingsverktøy for å se etter ondsinnet aktivitet, vil Symbiote injisere Berkeley Packet Filter-bytekode som forteller kjernen hvilke pakker som skal fanges, slik at skadelig programvare kan forme hvilken trafikk som vises i fange.

Symbiote holder en veldig lav profil, og blir forhåndslastet før alle andre delte objekter på systemet, noe som gjør at det kan forbli skjult. Den kan også hente inn legitimasjon fra de kompromitterte systemene.

Symbiote malwares tidligste oppdagede prøve dateres tilbake til slutten av 2021 og ble sannsynligvis brukt til å målrette mot bankinstitusjoner i Sør-Amerika.