Symbiote Malware

Siber güvenlik araştırmacıları, inanılmaz derecede gizli bir Linux kötü amaçlı yazılımı ortaya çıkardı. Symbiote adlı tehdidin en eski örnekleri, Latin Amerika'dan bankacılık veya finans kurumları olduğuna inanılan hedefleriyle Kasım 2021'e kadar uzanıyor. Daha önce bilinmeyen bu kötü amaçlı yazılımla ilgili ayrıntılar, BlackBerry Threat Research & Intelligence ekibi ve Inteze güvenlik araştırmacısı Joakim Kennedy tarafından ortak bir raporda yayınlandı.

Bulgularına göre, Symbiote, halihazırda çalışan süreçleri tehlikeye atmaya çalışan diğer Linux kötü amaçlı yazılım tehditlerinden önemli ölçüde farklıdır. Ancak, Symbiote, çalışan tüm süreçlerin LD_PRELOAD aracılığıyla yüklendiği paylaşılan bir nesne (SO) kitaplığı olarak çalışacak şekilde tasarlanmıştır. Güvenliği ihlal edilmiş makinede tam olarak oluşturulduktan sonra tehdit, neredeyse rootkit düzeyinde işlevsellik sağlayabilir. Symbiote, varlığını gizlemek için libc ve libpcap gibi belirli işlevleri bağlar.

Ayrıca, libc okuma işlevini bağlayarak tehdit, virüslü cihazdan kimlik bilgilerini toplayabilirken, Linux Takılabilir Kimlik Doğrulama Modülünü (PAM) kullanarak tehdit aktörlerine uzaktan erişim işlevleri vermesini sağlar. Tehdit tarafından oluşturulan şüpheli trafiğe gelince, BPF (Berkeley Packet Filter) kancası kullanılarak maskelenir.

Araştırmacılar ayrıca Symbiote ile ilişkili belirli alan adlarının meşru Brezilya bankalarını taklit etmek için tasarlandığını da doğrulayabildiler. Ek olarak, kötü amaçlı yazılıma bağlı bir sunucu, Brezilya Federal Polisi sayfasını taklit etmek için bilerek oluşturuldu.