新型隐秘的 Quasar Linux 恶意软件瞄准软件开发人员
- 浏览次数 14
- 喜欢 0
一款此前未被记录的名为 Quasar Linux(QLNX)的 Linux 植入程序,正瞄准开发人员的系统,兼具 rootkit(根木马)、后门和窃取凭证等功能。
该恶意软件套件部署在 npm、PyPI、GitHub、AWS、Docker 和 Kubernetes 等开发及 DevOps 环境中。这可能引发供应链攻击,威胁行为者可借此在代码分发平台上发布恶意软件包。
网络安全公司趋势科技的研究人员对 QLNX 植入程序进行分析后发现,“它会在目标主机上使用 gcc(GNU 编译器集合)动态编译 rootkit 共享对象和 PAM(Pluggable Authentication Modules,可插拔认证模块)后门模块”。
趋势科技本周发布的一份报告指出,QLNX 旨在实现隐秘和长期驻留,它在内存中运行,从磁盘删除原始二进制文件,清除日志,伪装进程名称,并清除取证环境变量。
该恶意软件使用七种不同的持久化机制,包括 LD_PRELOAD、systemd、crontab、init.d 脚本、XDG 自动启动以及‘.bashrc’注入,确保其能加载到每个动态链接的进程中,若被终止也能重新启动。
QLNX 具有多个专门用于特定活动的功能模块,是一个完整的攻击工具。其核心组件概括如下:
- RAT 核心:围绕一个包含 58 条命令的框架构建的中央控制组件,提供交互式 shell 访问、文件和进程管理、系统控制以及网络操作功能,同时通过自定义 TCP/TLS 或 HTTP/S 通道与命令控制(C2)服务器保持持久通信。
- Rootkit:双层隐秘机制,结合了用户空间的 LD_PRELOAD rootkit 和内核级的 eBPF 组件。用户空间层通过挂钩 libc 函数来隐藏文件、进程和恶意软件痕迹,而 eBPF 层在内核级别隐藏进程 ID(PID)、文件路径和网络端口。两者均动态部署,用户空间的 rootkit 在目标系统上编译。
- 凭证访问层:将凭证收集(SSH 密钥、浏览器信息、云及开发者配置、剪贴板内容)与基于 PAM 的后门相结合,后者用于拦截和记录明文认证数据。
- 监控模块:具备键盘记录、截图捕获和剪贴板监控功能。
- 网络与横向移动:支持 TCP 隧道、SOCKS 代理、端口扫描、基于 SSH 的横向移动以及对等网状网络。
- 执行与注入引擎:支持进程注入(ptrace、/proc/pid/mem 方式)和有效载荷(共享对象、BOF/COFF 格式)的内存内执行。
- 文件系统监控:通过 inotify 实时跟踪文件活动。
在获得初始访问权限后,QLNX 建立无文件的立足点,部署持久化和隐秘机制,然后收集开发人员和云凭证。
通过瞄准开发人员的工作站,攻击者能够绕过企业安全控制,获取支撑软件交付管道的凭证。
这种攻击方式与近期的供应链事件类似,在那些事件中,被盗的开发人员凭证被用于向公共存储库发布植入木马的软件包。
趋势科技尚未提供关于 QLNX 具体攻击或来源的详细信息,因此该新型恶意软件的部署规模和具体活动程度尚不清楚。
截至发布时,仅有四个安全解决方案能检测到 Quasar Linux 植入程序,并将其二进制文件标记为恶意。趋势科技已提供入侵指标(IoCs),以帮助防御者检测和防范 QLNX 感染。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文