Am Donnerstag veröffentlichten Forscher des BlackBerry Threat Research & Intelligence-Teams zusammen mit dem Intezer-Sicherheitsforscher Joakim Kennedy einen Blog-Beitrag über die Malware, die aufgrund ihres parasitären Charakters als „Symbiote“ bezeichnet wird.

Das Team entdeckte Symbiote vor einigen Monaten. Symbiote unterscheidet sich von der heute üblichen Linux-Malware, die normalerweise versucht, laufende Prozesse zu kompromittieren, und agiert stattdessen als gemeinsam genutzte Objektbibliothek (SO), die über LD_PRELOAD in alle laufenden Prozesse geladen wird.

„Die gemeinsam genutzte Objektbibliothek kompromittiert einen Zielcomputer parasitär“, so die Forscher, und sobald ihre Krallen tief im System verankert sind, bietet die Malware Angreifern Rootkit-Funktionalität.

Das erste Beispiel stammt aus dem November 2021 und wurde offenbar entwickelt, um Finanzinstitute in Lateinamerika anzugreifen. Da die Malware jedoch neu und sehr ausweichend ist, sind sich die Forscher nicht sicher, ob Symbiote bei gezielten oder breit angelegten Angriffen eingesetzt wird, wenn überhaupt.

Symbiote weist mehrere interessante Merkmale auf. So nutzt die Malware beispielsweise das Berkeley Packet Filter (BPF) Hooking, eine Funktion, die dazu dient, bösartigen Datenverkehr auf einem infizierten Computer zu verbergen. BPF wird auch von Malware verwendet, die von der Equation Group entwickelt wurde.

„Wenn ein Administrator ein beliebiges Packet-Capture-Tool auf dem infizierten Rechner startet, wird BPF-Bytecode in den Kernel injiziert, der definiert, welche Pakete erfasst werden sollen“, erklärt BlackBerry. „Bei diesem Prozess fügt Symbiote seinen Bytecode zuerst ein, um den Netzwerkverkehr herauszufiltern, den die Paketerfassungssoftware nicht sehen soll.“

Eines der beeindruckendsten Elemente der Linux-Malware ist ihre Heimlichkeit. Die Malware wird vor anderen gemeinsam genutzten Objekten geladen, so dass sie sich in bestimmte Funktionen einklinken kann – einschließlich libc und libpcap -, um ihre Präsenz zu verbergen. Andere mit Symbiote verknüpfte Dateien werden ebenfalls verborgen, und seine Netzwerkeinträge werden ständig gesäubert.

Darüber hinaus ist Symbiote in der Lage, Anmeldeinformationen zu sammeln, indem er sich in die Lesefunktion von libc einklinkt und den Fernzugriff erleichtert, indem er sich in die Funktionen des Linux Pluggable Authentication Module (PAM) einklinkt.

Die mit Symbiote verknüpften Domänennamen geben sich als große brasilianische Banken aus, und ein weiterer verknüpfter Server gibt sich als die brasilianische Bundespolizei aus.

Ein Beispiel für die Malware wurde unter dem Namen certbotx64 bei VirusTotal hochgeladen. Das Team vermutet, dass die Uploads zu Antiviren- und Erkennungstestzwecken erfolgten, bevor die Hauptinfrastruktur der Malware online ging.

„Als wir die Proben zum ersten Mal mit Intezer Analyze analysierten, wurde nur eindeutiger Code erkannt“, so die Forscher. „Da Symbiote und Ebury/Windigo oder andere bekannte [Linux-]Malware keinen gemeinsamen Code haben, können wir mit Sicherheit davon ausgehen, dass Symbiote eine neue, unentdeckte Linux-Malware ist.“

Jakob Jung

Recent Posts

OCSF: Neuer Standard für Cybersicherheit

Eine Koalition aus der Cybersicherheits- und Technologiebranche hat ein Open-Source-Projekt angekündigt, um Datensilos zu durchbrechen,…

2 Tagen ago

Container auf der Überholspur

Container werden immer populärer, denn damit können Entwickler Anwendungen auf der Grundlage eines kontinuierlichen Entwicklungsmodells…

2 Tagen ago

So erkennen Sie Deepfakes

Deepfakes werden bei Cyberkriminellen immer beliebter. Um sich zu schützen, können Sie diese Schwachstellen in…

2 Tagen ago

Sicherer surfen mit Microsoft Edge

Der Browser Microsoft Edge bietet erweiterte Sicherheitsfunktionen, die beim Surfen im Internet und beim Besuch…

2 Tagen ago

Modernes Schwachstellen-Management

Die Sicherheit für Informationstechnologie (IT) ist etabliert, aber bei Operational Technologie (OT) ist noch vieles…

3 Tagen ago

So wehren Sie DDoS-Angriffe ab

Distributed-Denial-of-Service (DDoS)-Attacken werden immer gefährlicher. Wie Unternehmen mit dieser Gefahr umgehen sollten, schildert Security-Spezialist Steffen…

3 Tagen ago