Symbiote Linux Malware vliegt onder de radar

Beveiligingsexperts van BlackBerry Threat Research publiceerden een gezamenlijk onderzoeksbericht over een nieuwe variant van Linux-malware, genaamd Symbiote.

De malware werd voor het eerst ontdekt begin 2022. Het belangrijkste hoogtepunt is hoe moeilijk het is om te detecteren - het team noemt Symbiote "bijna onmogelijk" om te detecteren op een systeem.

Symbiote functioneert als een gedeelde objectbibliotheek op het doelsysteem, in tegenstelling tot de meeste Linux-malware die reeds lopende processen probeert te compromitteren. In plaats daarvan wordt Symbiote op alle actieve processen op het slachtoffersysteem geladen met VIA_PRELOAD.

Eenmaal volledig geïmplementeerd, biedt Symbiote rootkit-mogelijkheden aan zijn operators. De malware maakt gebruik van Berkeley Packet Filter hooking, waarmee het kwaadaardig pakketverkeer op een geïnfecteerd systeem kan maskeren. De onderzoekers legden uit dat als een systeembeheerder probeert een tool voor het vastleggen en bewaken van pakketten te gebruiken om te zoeken naar kwaadaardige activiteiten, Symbiote Berkeley Packet Filter-bytecode zou injecteren die de kernel vertelt welke pakketten moeten worden vastgelegd, waardoor de malware kan bepalen welk verkeer in de vastleggen.

Symbiote houdt een zeer laag profiel en wordt vooraf geladen vóór alle andere gedeelde objecten op het systeem, waardoor het verborgen kan blijven. Het kan ook referenties van de gecompromitteerde systemen oogsten.

Het vroegst ontdekte voorbeeld van de Symbiote-malware dateert van eind 2021 en werd waarschijnlijk gebruikt om bankinstellingen in Zuid-Amerika aan te vallen.