Threat Database Linux Malware Symbiote Malware

Symbiote Malware

网络安全研究人员发现了一种极其隐秘的 Linux 恶意软件。该威胁的最早样本名为 Symbiote,可追溯到 2021 年 11 月,其预期目标被认为是拉丁美洲的银行或金融机构。 BlackBerry Threat Research & Intelligence 团队和 Inteze 安全研究员 Joakim Kennedy 在一份联合报告中公布了有关这种以前未知恶意软件的详细信息。

根据他们的发现,Symbiote 与其他试图破坏已运行进程的 Linux 恶意软件威胁有很大不同。然而,Symbiote 被设计成一个共享对象 (SO) 库,所有正在运行的进程都通过 LD_PRELOAD 加载该库。一旦它在受感染的机器上完全建立起来,威胁就能够提供几乎 rootkit 级别的功能。为了隐藏它的存在,Symbiote 挂钩了特定的函数,例如libclibpcap

此外,通过挂钩libc读取功能,威胁可以从受感染设备中获取凭据,同时使用 Linux 可插入身份验证模块 (PAM) 允许它为威胁参与者提供远程访问功能。至于威胁产生的可疑流量,则通过使用 BPF(Berkeley Packet Filter)挂钩进行屏蔽。

研究人员还能够确认与 Symbiote 相关的某些域名旨在冒充合法的巴西银行。此外,还特意创建了一个链接到该恶意软件的服务器来模仿巴西联邦警察的页面。

趋势

最受关注

正在加载...