Symbiote Malware

นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบมัลแวร์ลีนุกซ์ที่ลอบเร้นอย่างไม่น่าเชื่อ ตัวอย่างแรกของภัยคุกคามที่ชื่อว่า Symbiote มีอายุย้อนไปถึงเดือนพฤศจิกายน 2564 โดยมีเป้าหมายที่ตั้งใจไว้ซึ่งเชื่อว่าเป็นธนาคารหรือสถาบันการเงินจากละตินอเมริกา รายละเอียดเกี่ยวกับมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ได้รับการเปิดเผยในรายงานร่วมโดยทีมวิจัยและข่าวกรองภัยคุกคามของ BlackBerry และ Joakim Kennedy นักวิจัยด้านความปลอดภัยของ Inteze

จากการค้นพบของพวกเขา Symbiote แตกต่างอย่างมากจากภัยคุกคามมัลแวร์ Linux อื่น ๆ ที่พยายามประนีประนอมกับกระบวนการที่ทำงานอยู่แล้ว อย่างไรก็ตาม Symbiote ได้รับการออกแบบมาเพื่อทำหน้าที่เป็นไลบรารีอ็อบเจ็กต์ที่ใช้ร่วมกัน (SO) ซึ่งกระบวนการที่ทำงานอยู่ทั้งหมดจะโหลดผ่าน LD_PRELOAD เมื่อสร้างเสร็จแล้วในเครื่องที่ถูกบุกรุก ภัยคุกคามก็สามารถให้ฟังก์ชันการทำงานเกือบระดับรูทคิตได้ ในการซ่อนการมีอยู่ Symbiote จะเชื่อมโยงฟังก์ชันเฉพาะ เช่น libc และ libpcap

นอกจากนี้ ด้วยการเชื่อมต่อกับฟังก์ชันการอ่าน libc ภัยคุกคามสามารถเก็บเกี่ยวข้อมูลประจำตัวจากอุปกรณ์ที่ติดไวรัส ในขณะที่การใช้ Linux Pluggable Authentication Module (PAM) ช่วยให้สามารถให้ฟังก์ชันการเข้าถึงระยะไกลแก่ผู้คุกคามได้ สำหรับการรับส่งข้อมูลที่น่าสงสัยที่เกิดจากภัยคุกคามนั้นจะถูกปิดบังผ่านการใช้ BPF (Berkeley Packet Filter) hooking

นักวิจัยยังสามารถยืนยันได้ว่าชื่อโดเมนบางชื่อที่เกี่ยวข้องกับ Symbiote ได้รับการออกแบบมาเพื่อเลียนแบบธนาคารของบราซิลที่ถูกต้องตามกฎหมาย นอกจากนี้ เซิร์ฟเวอร์ที่เชื่อมโยงกับมัลแวร์ยังถูกสร้างขึ้นโดยตั้งใจเพื่อเลียนแบบหน้าของตำรวจสหพันธรัฐบราซิล