Вредоносное ПО для Symbiote Linux исчезло из поля зрения

Эксперты по безопасности из BlackBerry Threat Research опубликовали совместный исследовательский пост о новом штамме вредоносного ПО для Linux, получившем название Symbiote.

Вредоносное ПО было впервые обнаружено в начале 2022 года. Его главная особенность заключается в том, насколько сложно его обнаружить: команда называет Symbiote «практически невозможным» для обнаружения в системе.

Symbiote функционирует как общая библиотека объектов в целевой системе, в отличие от большинства вредоносных программ для Linux, которые будут пытаться скомпрометировать уже запущенные процессы. Вместо этого Symbiote загружается во все запущенные процессы в системе-жертве с помощью VIA_PRELOAD.

После полного развертывания Symbiote предлагает своим операторам возможности руткитов. Вредоносное ПО использует перехватчик Berkeley Packet Filter, который позволяет ему маскировать трафик вредоносных пакетов в зараженной системе. Исследователи объяснили, что если системный администратор попытается использовать инструмент захвата и мониторинга пакетов для поиска вредоносной активности, Symbiote введет байт-код Berkeley Packet Filter, который сообщает ядру, какие пакеты перехватывать, позволяя вредоносному ПО определять, какой трафик отображается в пакете. захватывать.

Symbiote сохраняет очень низкий профиль, предварительно загружаясь перед всеми другими общими объектами в системе, что позволяет ему оставаться скрытым. Он также может собирать учетные данные из скомпрометированных систем.

Самый ранний обнаруженный образец вредоносного ПО Symbiote датируется концом 2021 года и, вероятно, использовался для нападения на банковские учреждения в Южной Америке.