Symbiote Malware

믿을 수 없을 정도로 은밀한 Linux 맬웨어가 사이버 보안 연구원에 의해 발견되었습니다. Symbiote라는 위협의 가장 초기 샘플은 2021년 11월로 거슬러 올라가며 그 목표는 라틴 아메리카의 은행 또는 금융 기관으로 여겨집니다. 이전에 알려지지 않은 이 맬웨어에 대한 세부 정보는 BlackBerry Threat Research & Intelligence 팀과 Inteze 보안 연구원인 Joakim Kennedy의 공동 보고서에서 발표되었습니다.

그들의 연구 결과에 따르면 Symbiote는 이미 실행 중인 프로세스를 손상시키려는 다른 Linux 맬웨어 위협과 크게 다릅니다. 그러나 Symbiote는 실행 중인 모든 프로세스가 LD_PRELOAD를 통해 로드하는 공유 개체(SO) 라이브러리로 작동하도록 설계되었습니다. 손상된 시스템에 완전히 설정되면 위협 요소는 거의 루트킷 수준의 기능을 제공할 수 있습니다. 존재를 숨기기 위해 Symbiote는 libc 및 libpcap 과 같은 특정 기능을 연결합니다.

또한 libc 읽기 기능을 연결하여 위협 요소가 감염된 장치에서 자격 증명을 수집할 수 있으며 Linux PAM(플러그 가능 인증 모듈)을 사용하여 위협 행위자에게 원격 액세스 기능을 제공할 수 있습니다. 위협에 의해 생성된 의심스러운 트래픽은 BPF(Berkeley Packet Filter) 후킹을 통해 마스킹됩니다.

연구원들은 또한 Symbiote와 관련된 특정 도메인 이름이 합법적인 브라질 은행을 사칭하도록 설계되었음을 확인할 수 있었습니다. 또한, 악성코드에 연결된 서버는 브라질 연방 경찰의 페이지를 모방하기 위해 의도적으로 생성되었습니다.