Yeni bir Linux (yeni sekmede açılır) virüsten koruma programları tarafından algılanmayı önleyebilen, güvenliği ihlal edilmiş uç noktalardan hassas verileri çalabilen kötü amaçlı yazılım keşfedildi (yeni sekmede açılır) ve bir cihazda çalışan tüm işlemlere bulaşır.
Intezer Labs’ten siber güvenlik araştırmacıları kötü amaçlı yazılımın olduğunu söylüyor (yeni sekmede açılır)OrBit olarak adlandırılan , LD_PRELOAD ortam değişkenini değiştirerek paylaşılan kitaplıkları ele geçirmesine ve sonuç olarak işlev çağrılarını engellemesine izin verir.
Intezer Labs araştırmacısı Nicole Fishbein, “Kötü amaçlı yazılım, gelişmiş kaçınma teknikleri uygular ve temel işlevleri bağlayarak makinede kalıcılık kazanır, tehdit aktörlerine SSH üzerinden uzaktan erişim yetenekleri sağlar, kimlik bilgilerini toplar ve TTY komutlarını günlüğe kaydeder.”
“Kötü amaçlı yazılım yüklendikten sonra, makinede çalışan yeni işlemler de dahil olmak üzere çalışan tüm işlemlere bulaşacaktır.”
Araştırmacılar, yakın zamana kadar çoğu antivirüs çözümünün OrBit dropper’ı veya yükü kötü amaçlı olarak ele almadığını, ancak şimdi bazı kötü amaçlı yazılımdan koruma hizmet sağlayıcılarının OrBit’i kötü amaçlı olarak tanımladığını söyledi.
Fishbein, “Bu kötü amaçlı yazılım, farklı komutlardan ve yardımcı programlardan bilgi çalıyor ve bunları makinedeki belirli dosyalarda depoluyor. Ayrıca, veri depolamak için daha önce görülmemiş bir şekilde geniş bir dosya kullanımı var,” dedi.
“Bu kötü amaçlı yazılımı özellikle ilginç yapan şey, kötü amaçlı yazılımın bilgi çalıp SSH arka kapısını ayarlarken kalıcılık kazanmasına ve tespitten kaçmasına izin veren, kitaplıkların kurban makinesine neredeyse hermetik olarak takılmasıdır.”
BleepingComputer, tehdit aktörlerinin son zamanlarda Linux platformunda oldukça aktif olduğunu buldu. OrBit’in yanı sıra, yakın zamanda keşfedilen Symbiote kötü amaçlı yazılımı, kendisini çalışan işlemlere yüklemek için LD_PRELOAD yönergesini de kullanır. Yayın, sistem çapında bir parazit gibi davrandığını ve hiçbir enfeksiyon belirtisi bırakmadığını da ekliyor.
BPFDoor da benzer bir kötü amaçlı yazılım türüdür. Linux sistemlerini hedefler ve yaygın Linux arka plan programlarının adlarını kullanarak gizler. Bu, beş yıl boyunca antivirüs radarları altında kalmasına yardımcı oldu.
Bu ikisinin yanı sıra, kötü amaçlı programları hem yükleyip hem de gizleyebilen Syslogk da vardır. Avast’tan siber güvenlik araştırmacıları tarafından açıklandığı gibi, rootkit kötü amaçlı yazılımı, Adore-Ng adlı eski, açık kaynaklı bir rootkit’e dayanmaktadır. Aynı zamanda (aktif) gelişimin nispeten erken bir aşamasındadır, bu nedenle tam bir tehdide dönüşüp dönüşmeyeceği görülecektir.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)