Ένα νέο Linux malware που ανακαλύφθηκε και ονομάζεται OrBit χρησιμοποιείται για να κλέβει κρυφά πληροφορίες από “backdoored Linux συστήματα” και να μολύνει όλες τις διεργασίες που εκτελούνται στο μηχάνημα.
Δείτε επίσης: Το OpenSSL κυκλοφορεί patch για σφάλμα υψηλής σοβαρότητας
Οι ερευνητές ασφαλείας της Intezer Labs που εντόπισαν πρώτοι το OrBit malware είπαν ότι παραβιάζει τις κοινόχρηστες βιβλιοθήκες για να υποκλέψει function calls τροποποιώντας τη μεταβλητή περιβάλλοντος LD_PRELOAD σε παραβιασμένες συσκευές.
Ενώ μπορεί να αποκτήσει persistence χρησιμοποιώντας δύο διαφορετικές μεθόδους για να μπλοκάρει τις προσπάθειες αφαίρεσης, το OrBit μπορεί και να αναπτυχθεί ως “volatile implant” όταν αντιγράφεται στη μνήμη shim.
Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι
Πώς να Σαρώσετε με Ασφάλεια QR Codes;
OpenAI: Hackers παρεμβαίνουν στις εκλογές χρησιμοποιώντας AI
Δείτε επίσης: Ransomware ομάδες μεταφέρονται από το Cobalt Strike στο Brute Ratel
Μπορεί επίσης να συνδέσει διάφορες λειτουργίες για να αποφύγει τον εντοπισμό, να ελέγξει τη συμπεριφορά της διαδικασίας, να διατηρήσει το persistence μολύνοντας νέες διεργασίες και να κρύψει τη δραστηριότητα του δικτύου που θα αποκάλυπτε την παρουσία του.
Για παράδειγμα, μόλις εγχυθεί σε μια εκτελούμενη διεργασία, το OrBit μπορεί να χειριστεί το output του για να κρύψει τυχόν ίχνη της ύπαρξής του φιλτράροντας ό,τι καταγράφεται.
Αν και τα dropper και payload components του OrBit δεν ανιχνεύτηκαν από μηχανές προστασίας από ιούς όταν εντοπίστηκε για πρώτη φορά το κακόβουλο λογισμικό, ορισμένοι προμηθευτές anti-malware έχουν ενημερώσει τα προϊόντα τους για να προειδοποιήσουν τους πελάτες για την παρουσία του.
Το OrBit δεν είναι το πρώτο Linux malware που εμφανίστηκε πρόσφατα και είναι ικανό να χρησιμοποιεί παρόμοιες προσεγγίσεις για την πλήρη παραβίαση και τις backdoor συσκευές.
Η Symbiote χρησιμοποιεί και το LD_PRELOAD directive για να φορτωθεί σε διεργασίες που εκτελούνται, ενεργώντας ως παράσιτο σε όλο το σύστημα, χωρίς να αφήνει σημάδια μόλυνσης.
Το BPFDoor, ένα άλλο malware που εντοπίστηκε πρόσφατα και στοχεύει συστήματα Linux, καμουφλάρεται χρησιμοποιώντας τα ονόματα κοινών δαιμόνων Linux, που το βοήθησαν να παραμείνει απαρατήρητο για περισσότερα από πέντε χρόνια.
Και τα δύο αυτά στελέχη χρησιμοποιούν τη λειτουργία hooking BPF (Berkeley Packet Filter) για την παρακολούθηση και τον χειρισμό της κυκλοφορίας του δικτύου, η οποία βοηθά στην απόκρυψη των καναλιών επικοινωνίας τους από τα εργαλεία ασφαλείας.
Δείτε επίσης: Maui ransomware: Η κυβέρνηση των ΗΠΑ προειδοποιεί για επιθέσεις!
Ένα τρίτο Linux malware, ένα rootkit υπό βαριά ανάπτυξη που ονομάζεται Syslogk και αποκαλύφθηκε από ερευνητές της Avast τον περασμένο μήνα, μπορεί να φορτώσει αναγκαστικά τις δικές του μονάδες στον Linux kernel, σε μηχανήματα παραβιασμένα μέσω backdoor και να κρύψει directories και network traffic για να αποφύγει τον εντοπισμό.
Παρόλο που δεν είναι το πρώτο ή το πιο πρωτότυπο στέλεχος κακόβουλου λογισμικού που στοχεύει το Linux τελευταία, το OrBit εξακολουθεί να διαθέτει δυνατότητες που το ξεχωρίζουν από άλλες απειλές.
“Αυτό το κακόβουλο λογισμικό κλέβει πληροφορίες από διαφορετικές εντολές και βοηθητικά προγράμματα και τις αποθηκεύει σε συγκεκριμένα αρχεία στο μηχάνημα. Επιπλέον, υπάρχει εκτεταμένη χρήση αρχείων για την αποθήκευση δεδομένων, κάτι που δεν είχε παρατηρηθεί πριν”, είπε η Nicole Fishbein, ερευνήτρια ασφαλείας της Intezer Labs.
Πηγή πληροφοριών: bleepingcomputer.com