Ранее не зафиксированная уязвимость для Linux под названием Quasar Linux (QLNX) нацелен на системы разработчиков и сочетает в себе функции руткита, бэкдора и средства для кражи учетных данных.
Этот набор вредоносных программ распространяется в средах разработки и DevOps через npm, PyPI, github, AWS, Docker и Kubernetes. Это может привести к атакам через цепочку поставок, при которых злоумышленник публикует вредоносные пакеты на платформах распространения кода.
Исследователи из компании Trend Micro, занимающейся кибербезопасностью, проанализировали имплантат QLNX и обнаружили, что «он динамически компилирует общие объекты руткита и модули бэкдора PAM на целевом хосте с помощью gcc [GNU Compiler Collection]».
В отчете компании, опубликованном на этой неделе, отмечается, что QLNX был разработан для скрытности и долгосрочной персистентности, поскольку он работает в памяти, удаляет исходный бинарный файл с диска, стирает журналы, подделывает имена процессов и очищает переменные среды для криминалистической экспертизы.
Вредоносная программа использует семь различных механизмов сохранения присутствия, включая LD_PRELOAD, systemd, crontab, скрипты init.d, автозапуск XDG и инъекцию в .bashrc, что гарантирует ее загрузку в каждый динамически связанный процесс и повторный запуск в случае завершения работы.
QLNX включает в себя несколько функциональных блоков, предназначенных для конкретных действий, что делает его полноценным инструментом для атак. Его основные компоненты можно обобщить следующим образом:
- Ядро RAT — центральный компонент управления, построенный на основе фреймворка из 58 команд, который обеспечивает доступ к интерактивной оболочке, управление файлами и процессами, контроль над системой и сетевые операции, поддерживая при этом постоянную связь с C2 по настраиваемым каналам TCP/TLS или HTTP/S.
- Rootkit — двухслойный механизм скрытности, сочетающий rootkit LD_PRELOAD на уровне пользователя и компонент eBPF на уровне ядра. Уровень пользователя подключается к функциям libc для скрытия файлов, процессов и артефактов вредоносного ПО, в то время как уровень eBPF скрывает PID, пути к файлам и сетевые порты на уровне ядра. Оба развертываются динамически, при этом rootkit на уровне пользователя компилируется на целевой системе.
- Уровень доступа к учетным данным — сочетает сбор учетных данных (SSH-ключи, Браузеры, конфигурации облачных сервисов и разработчиков, /etc/shadow, буфер обмена) с бэкдорами на основе PAM, которые перехватывают и регистрируют данные аутентификации в виде открытого текста.
- Модуль слежения — кейлоггинг, захват скриншотов и Мониторинг буфера обмена.
- Сетевые операции и латеральное перемещение — TCP-туннелирование, SOCKS-прокси, Сканирование портов, латеральное перемещение на основе SSH и одноранговые сетевые соединения.
- Механизм выполнения и внедрения — Внедрение в процессы (ptrace, /proc/pid/mem) и выполнение полезных нагрузок в памяти (общие объекты, BOF/COFF).
- Мониторинг файловой системы — отслеживание активности файлов в реальном времени с помощью inotify.
После первоначального доступа QLNX устанавливает безфайловую точку опоры, развертывает механизмы персистентности и скрытности, а затем собирает учетные данные разработчиков и облачных сервисов.
Нацеливаясь на рабочие станции разработчиков, злоумышленники могут обойти средства корпоративной безопасности и получить доступ к учетным данным, лежащим в основе конвейеров доставки программного обеспечения.
Этот подход отражает недавние инциденты в цепочке поставок, в которых украденные учетные данные разработчиков использовались для публикации троянских пакетов в общедоступных репозиториях.
Trend Micro не предоставила подробностей о конкретных атаках или каких-либо данных об авторстве QLNX, поэтому объем распространения и конкретные уровни активности этого нового вредоносного ПО остаются неясными.
На момент публикации имплантат Quasar Linux обнаруживается лишь четырьмя решениями безопасности, которые помечают его бинарный файл как вредоносный. Trend Micro предоставила индикаторы компрометации (IoC), чтобы помочь специалистам по безопасности обнаруживать заражения QLNX и защищаться от них.
Комментарии (0)