Symbiote Malware

信じられないほどステルスなLinuxマルウェアがサイバーセキュリティ研究者によって発見されました。 Symbioteという名前の脅威の最も初期のサンプルは、2021年11月にさかのぼり、その意図されたターゲットはラテンアメリカの銀行または金融機関であると考えられています。このこれまで知られていなかったマルウェアの詳細は、BlackBerry Threat Research＆IntelligenceチームとIntezeセキュリティ研究者のJoakimKennedyによる共同レポートで公開されました。

彼らの調査結果によると、Symbioteは、すでに実行中のプロセスを危険にさらそうとする他のLinuxマルウェアの脅威とは大きく異なります。ただし、Symbioteは、実行中のすべてのプロセスがLD_PRELOADを介してロードする共有オブジェクト（SO）ライブラリとして機能するように設計されています。侵入先のマシンで完全に確立されると、脅威はほぼルートキットレベルの機能を提供できるようになります。その存在を隠すために、Symbioteはlibcやlibpcapなどの特定の関数をフックします。

さらに、 libc読み取り機能をフックすることで、脅威は感染したデバイスから資格情報を収集できますが、Linux Pluggable Authentication Module（PAM）を使用すると、脅威の攻撃者にリモートアクセス機能を提供できます。脅威によって生成された疑わしいトラフィックについては、BPF（Berkeley Packet Filter）フックを使用してマスクされます。

研究者たちはまた、シンビオートに関連する特定のドメイン名が合法的なブラジル銀行になりすますように設計されていることを確認することができました。さらに、マルウェアにリンクされたサーバーは、ブラジル連邦警察のページを模倣するために意図的に作成されました。