Symbiote Malware

មេរោគលីនុចដែលលួចលាក់មិនគួរឱ្យជឿ ត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត។ គំរូដំបូងបំផុតនៃការគំរាមកំហែងដែលមានឈ្មោះថា Symbiote មានអាយុកាលតាំងពីខែវិច្ឆិកា ឆ្នាំ 2021 ជាមួយនឹងគោលដៅដែលបានគ្រោងទុកដែលគេជឿថាជាធនាគារ ឬស្ថាប័នហិរញ្ញវត្ថុមកពីអាមេរិកឡាទីន។ ព័ត៌មានលម្អិតអំពីមេរោគដែលមិនស្គាល់ពីមុននេះត្រូវបានចេញផ្សាយនៅក្នុងរបាយការណ៍រួមគ្នាដោយក្រុម BlackBerry Threat Research & Intelligence និងអ្នកស្រាវជ្រាវសន្តិសុខ Inteze Joakim Kennedy ។

យោងតាមការរកឃើញរបស់ពួកគេ Symbiote មានភាពខុសប្លែកគ្នាយ៉ាងខ្លាំងពីការគំរាមកំហែងមេរោគ Linux ផ្សេងទៀតដែលព្យាយាមសម្របសម្រួលដំណើរការដែលកំពុងដំណើរការរួចហើយ។ ទោះយ៉ាងណាក៏ដោយ Symbiote ត្រូវបានរចនាឡើងដើម្បីដើរតួជាបណ្ណាល័យវត្ថុចែករំលែក (SO) ដែលដំណើរការដែលកំពុងដំណើរការទាំងអស់ផ្ទុកតាមរយៈ LD_PRELOAD ។ នៅពេលដែលវាត្រូវបានបង្កើតឡើងយ៉ាងពេញលេញនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល ការគំរាមកំហែងគឺអាចផ្តល់នូវមុខងារស្ទើរតែកម្រិត rootkit ។ ដើម្បីលាក់វត្តមានរបស់វា Symbiote ទំពក់មុខងារជាក់លាក់ដូចជា libc និង libpcap ។

លើសពីនេះ ដោយការភ្ជាប់មុខងារអាន libc ការគំរាមកំហែងអាចប្រមូលព័ត៌មានសម្គាល់អត្តសញ្ញាណពីឧបករណ៍ដែលមានមេរោគ ខណៈពេលដែលការប្រើ Linux Pluggable Authentication Module (PAM) អនុញ្ញាតឱ្យវាផ្តល់មុខងារចូលប្រើពីចម្ងាយដល់តួអង្គគំរាមកំហែង។ ចំពោះចរាចរណ៍គួរឱ្យសង្ស័យដែលបង្កើតឡើងដោយការគំរាមកំហែង វាត្រូវបានបិទបាំងតាមរយៈការប្រើប្រាស់ BPF (Berkeley Packet Filter) hooking ។

អ្នកស្រាវជ្រាវក៏អាចបញ្ជាក់បានដែរថា ឈ្មោះដែនមួយចំនួនដែលទាក់ទងនឹង Symbiote ត្រូវបានរចនាឡើងដើម្បីក្លែងបន្លំជាធនាគារប្រេស៊ីលស្របច្បាប់។ លើសពីនេះទៀត ម៉ាស៊ីនមេដែលភ្ជាប់ទៅមេរោគត្រូវបានបង្កើតឡើងក្នុងគោលបំណងធ្វើត្រាប់តាមទំព័ររបស់ប៉ូលីសសហព័ន្ធប្រេស៊ីល។