Symbiote Linux Malware flyger under radarn

Säkerhetsexperter med BlackBerry Threat Research publicerade ett gemensamt forskningsinlägg om en ny stam av Linux-skadlig programvara, kallad Symbiote.

Skadlig programvara upptäcktes först i början av 2022. Dess främsta höjdpunkt är hur svårt det är att upptäcka - teamet kallar Symbiote "nästan omöjligt" att upptäcka på ett system.

Symbiote fungerar som ett delat objektbibliotek på målsystemet, i motsats till de flesta Linux-skadliga program som kommer att försöka äventyra redan pågående processer. Istället laddas Symbiote på alla pågående processer på offersystemet med hjälp av VIA_PRELOAD.

När det väl är fullt utplacerat erbjuder Symbiote rootkit-funktioner till sina operatörer. Skadlig programvara använder sig av Berkeley Packet Filter hooking, som gör att den kan maskera skadlig pakettrafik på ett infekterat system. Forskarna förklarade att om en systemadministratör försöker använda ett paketinsamlings- och övervakningsverktyg för att leta efter skadlig aktivitet, skulle Symbiote injicera Berkeley Packet Filter-bytekod som talar om för kärnan vilka paket som ska fångas, vilket gör att skadlig programvara kan forma vilken trafik som dyker upp i fånga.

Symbiote håller en mycket låg profil och laddas i förväg före alla andra delade objekt på systemet, vilket gör att det kan förbli dold. Det kan också hämta referenser från de komprometterade systemen.

Symbiote malwares tidigaste upptäckta prov går tillbaka till slutet av 2021 och användes troligen för att rikta in sig på bankinstitutioner i Sydamerika.