Новый вредонос-паразит Symbiote почти невозможно обнаружить
В четверг исследователи из команды BlackBerry Threat Research & Intelligence совместно с исследователем безопасности компании Intezer Йоакимом Кеннеди опубликовали в блоге сообщение о вредоносном ПО, названном Symbiote из-за его "паразитической природы".
Команда обнаружила Symbiote несколько месяцев назад. Вредонос действует как библиотека разделяемых объектов (SO), которая загружается во все запущенные процессы через LD_PRELOAD, чем сильно отличается от типичных современных вредоносных программ для Linux, которые обычно пытаются скомпрометировать запущенные процессы. По словам исследователей, вредоносная библиотека разделяемых объектов паразитически компрометирует машину жертвы, а когда ее “когти” глубоко впиваются в систему, вредоносная программа начинает работать как руткит.
Первый образец вредоносного ПО датируется ноябрем 2021 года и, судя по всему, был разработан для атак на финансовые учреждения в Латинской Америке. Однако, поскольку вредоносная программа является новой и крайне скрытной, исследователи не уверены, используется ли Symbiote в каких-либо атаках.
Symbiote имеет несколько интересных особенностей. Например, вредоносная программа использует Berkeley Packet Filter (BPF) – метод отбора пакетов, позволяющий захватить необходимые сетевые пакеты, проходящие через любой интерфейс системы, и направить их на удаленную рабочую станцию для дальнейшего анализа.
"Когда администратор запускает любой инструмент для захвата пакетов на зараженном устройстве, в ядро внедряется байткод BPF, который определяет, какие пакеты должны быть захвачены", – пояснили в BlackBerry. "В этом процессе Symbiote добавляет свой байткод первым, чтобы отфильтровать сетевой трафик, который не должны видеть программы для захвата пакетов".
Одним из наиболее впечатляющих элементов Symbiote является скрытность. Вредоносная программа загружается перед другими динамическими объектами, что позволяет ей подключать определенные функции (включая libc и libpcap) и скрывать свое присутствие. Другие файлы, связанные с Symbiote, также скрыты, а его сетевые записи постоянно очищаются.
Кроме того, Symbiote может собирать учетные данные, подключая функцию чтения libc, а также облегчать удаленный доступ, используя функции подключаемого модуля аутентификации Linux (PAM). Доменные имена, связанные с Symbiote, выдают себя за крупные бразильские банки, а сервер маскируется под Федеральную полицию Бразилии.
Проанализировав код, исследователи назвали Symbiote совершенно новым, прежде не использовавшимся вредоносным ПО для Linux, поскольку его код был уникален.
Теги:
похожие материалы
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.
УЦСБ и «Атомик Софт» внедрили DevSecOps в «Альфа платформу»
Центр кибербезопасности ИТ-компании УЦСБ совместно с командой «Атомик Софт» интегрировали практики безопасной разработки в процесс создания «Альфа платформы» – программного комплекса, предназначенного для построения систем управления технологическими процессами (HMI, SCADA и других решений).
Роскомнадзор выявил нарушения у 33 операторов связи при установке средств фильтрации трафика
Роскомнадзор в ходе плановых проверок обнаружил у 33 российских операторов связи нарушения правил установки и эксплуатации технических средств противодействия угрозам (ТСПУ), которые используются для фильтрации интернет-трафика, блокировки запрещённого контента и защиты инфраструктуры.
Кибергруппа Everest заявила о краже 900 ГБ данных у Nissan
Кибергруппа, связанная с вымогательским ПО Everest, сообщила о предполагаемом взломе информационных систем японского автопроизводителя Nissan и хищении около 900 ГБ данных.
Найдена серия опасных багов в ядре Linux, влияющих на память, сеть и изоляцию процессов
Исследователи опубликовали подробный разбор группы ошибок в ядре Linux, связанных с некорректной работой с памятью и состояниями объектов ядра.
Найдена критическая уязвимость в библиотеке zlib, приводящая к DoS и возможному исполнению кода
В широко используемой библиотеке сжатия данных zlib обнаружена серьёзная уязвимость переполнения глобального буфера, которая может привести к сбою программ (DoS) и в определённых условиях - к удалённому выполнению произвольного кода.
ИИ учится мыслить без данных
Исследователи представили новый подход в области искусственного интеллекта под названием Absolute Zero Reasoner (AZR) - систему, способную самостоятельно развивать навыки рассуждения без использования внешних обучающих данных.
Критическая уязвимость Ni8mare угрожает тысячам серверов n8n
Исследователи кибербезопасности выявили критическую уязвимость в популярной платформе автоматизации рабочих процессов n8n, получившую обозначение Ni8mare и присвоенный идентификатор CVE-2026-21858.
X вскоре опубликует исходный код нового алгоритма рекомендаций
Илон Маск объявил, что социальная сеть X* в течение семи дней откроет для публики исходный код своего нового алгоритма, который отвечает за рекомендации как органических, так и рекламных постов пользователям платформы.