惡意軟體Quasar Linux結合後門與Rootkit功能,鎖定開發人員而來
趨勢科技揭露Linux惡意軟體Quasar Linux(QLNX),此為功能非常複雜的惡意程式,同時具備遠端存取木馬(RAT)與進階迴避偵測的能力、鍵盤側錄、挖掘憑證,同時還嵌入了PAM後門與LD_PRELOAD機制的Rootkit的原始碼。特別的是,此惡意程式還會動態編譯Rootkit的共用物件與PAM後門模組,這樣的做法並不常見。
值得留意的是,此惡意程式特別針對軟體供應鏈當中,開發者與DevOps相關的憑證,從高價值檔案擷取機密資料,其中包含NPM憑證、PyPI憑證、Terraform憑證、GitHub憑證與檔案,滲透這些資料能讓攻擊者以受害者的名義,於NPM或PyPI上架惡意套件、存取雲端基礎設施,或是透過CI/CD管線尋找其他目標。一旦開發者的Linux環境被感染QLNX,很有可能導致後續的軟體供應鏈攻擊。更可怕的是,由於QLNX內建了P2P與Mesh網狀通訊機制,能將單一惡意酬載加入韌性網路,使得受害者想要完全清理變得更加困難。
Quasar Linux (QLNX) – A Silent Foothold in the Supply Chain: Inside a Full-Featured Linux RAT With Rootkit, PAM Backdoor, Credential Harvesting Capabilities
TrendAI™ Research breaks down Quasar Linux (QLNX), a previously undocumented sophisticated Linux RAT with low detection rates. In this blog, we examine a full-featured Linux threat incorporating a rootkit, a PAM backdoor, credential harvesting, and more, revealing how this malware enables stealthy access, persistence, and potential supply-chain attacks.
www.trendmicro.com
Comments (0)