Symbiote Malware
網絡安全研究人員發現了一種極其隱秘的 Linux 惡意軟件。該威脅的最早樣本名為 Symbiote,可追溯到 2021 年 11 月,其預期目標被認為是拉丁美洲的銀行或金融機構。 BlackBerry Threat Research & Intelligence 團隊和 Inteze 安全研究員 Joakim Kennedy 在一份聯合報告中公佈了有關這種以前未知惡意軟件的詳細信息。
根據他們的發現,Symbiote 與其他試圖破壞已經運行的進程的 Linux 惡意軟件威脅有很大不同。然而,Symbiote 被設計成一個共享對象 (SO) 庫,所有正在運行的進程都通過 LD_PRELOAD 加載該庫。一旦它在受感染的機器上完全建立起來,威脅就能夠提供幾乎 rootkit 級別的功能。為了隱藏它的存在,Symbiote 掛鉤了特定的函數,例如libc和libpcap 。
此外,通過掛鉤libc讀取功能,威脅可以從受感染設備中獲取憑據,同時使用 Linux 可插入身份驗證模塊 (PAM) 允許它為威脅參與者提供遠程訪問功能。至於威脅產生的可疑流量,則通過使用 BPF(Berkeley Packet Filter)掛鉤進行屏蔽。
研究人員還能夠確認與 Symbiote 相關的某些域名旨在冒充合法的巴西銀行。此外,還特意創建了一個鏈接到該惡意軟件的服務器來模仿巴西聯邦警察的頁面。
