Bu haftanın başlarında, Blackberry ve Intezer'den araştırmacılar, Latin Amerika finans kurumlarını hedef alan, tespit edilmesi zor bir Linux kötü amaçlı yazılımı hakkında bilgi yayınladılar. Symbiote olarak bilinen tehdit, yetkisiz kullanıcılara kimlik bilgilerini toplama veya hedef makineye uzaktan erişim sağlama yeteneği sağlıyor Virüs bulaştığında, tüm kötü amaçlı yazılımlar gizlenir ve algılanamaz hale gelir.
Intezer'den Joakim Kennedy ve Blackberry Araştırma ve İstihbarat Ekibi , tehdidin, kullanıcıların bir ana bilgisayara bulaşmak için çalıştırması gereken tipik bir yürütülebilir dosyadan ziyade paylaşılan bir nesne kitaplığı (SO) olarak sunulduğunu keşfetti . Bir kez virüs bulaştığında, hedef makinede o anda çalışan işlemlere yüklenir. Etkilenen bilgisayarlar, hackerlara kimlik bilgilerini toplama, uzaktan erişim yeteneklerinden yararlanma ve yetkisiz yükseltilmiş ayrıcalıklarla komutları yürütme yeteneği sağlar. Kötü amaçlı yazılım, LD_PRELOAD yönergesi aracılığıyla diğer paylaşılan nesnelerden önce yüklenir ve algılanmamasını sağlar . Önce yüklenmek, kötü amaçlı yazılımın diğer yüklenen kitaplık dosyalarından yararlanmasına da olanak tanır.
Yukarıda açıklanan eylemlere ek olarak, Symbiote, belirli geçici dosyalar oluşturarak, virüslü paket filtreleme bayt kodunu ele geçirerek veya belirli paket yakalama işlevlerini kullanarak UDP trafiğini filtreleyip virüslü makinenin ağ etkinliğini gizleyebilir. .
Ekip, tehdidi ilk olarak 2021'de Latin Amerika merkezli finans kurumlarında tespit etti. O zamandan beri ekip, kötü amaçlı yazılımın bilinen diğer kötü amaçlı yazılımlarla hiçbir kod paylaşmadığını belirleyerek onu Linux işletim sistemlerine yönelik tamamen yeni bir kötü amaçlı yazılım tehdidi olarak sınıflandırdı. Yeni tehdidin bulunması zor olacak şekilde tasarlanmış olsa da, yöneticiler anormal DNS isteklerini tespit etmek için ağ telemetrisini kullanabilir. Güvenlik analistleri ve sistem yöneticileri, kullanıcı alanı düzeyindeki rootkit'lerin hedef makinelere bulaşmamasını sağlamak için statik olarak bağlantılı antivirüs (AV) ve uç nokta algılama ve yanıt (EDR) araçlarını da kullanabilir .
Kaynak:
https://www.techspot.com/news/94913-new ... based.html
Malum Linux'un birden çok dağıtımı var.