El implante de Linux no documentado anteriormente, con nombre en código Quasar Linux RAT (QLNX), apunta a los sistemas de los desarrolladores no solo para establecer un punto de apoyo silencioso, sino también para facilitar una amplia gama de funciones posteriores al compromiso, incluida la recolección de credenciales, registro de teclas, manipulación de archivos, monitoreo del portapapeles y túneles de red.
«QLNX apunta a desarrolladores y credenciales de DevOps en toda la cadena de suministro de software», dijeron los investigadores de Trend Micro Aliakbar Zahravi y Ahmed Mohamed Ibrahim en un análisis técnico del malware.
«Su recolector de credenciales extrae secretos de archivos de alto valor como .npmrc (tokens npm), .pypirc (credenciales PyPI), .git-credentials, .aws/credentials, .kube/config, .docker/config.json, .vault-token, credenciales Terraform, tokens CLI de GitHub y .env. Una vez que estos activos están comprometidos, los operadores pueden descargar paquetes maliciosos a NPM O podría ser posible acceder a un registro PyPI, acceder a la infraestructura de la nube o pasar por un proceso de CI/CD”.
Este malware plantea un riesgo importante para los entornos de desarrollo debido a su capacidad para recopilar sistemáticamente una amplia gama de credenciales. Un atacante que implemente QLNX con éxito en un administrador de paquetes podría obtener acceso no autorizado al canal de publicación, lo que le permitiría enviar una versión maliciosa, lo que podría causar efectos en cascada en sentido descendente.
QLNX se ejecuta sin archivos desde la memoria, se disfraza como un subproceso del kernel (como kworker o ksoftirqd), puede perfilar hosts para detectar entornos en contenedores, ocultar sus pistas borrando registros del sistema y configurar la persistencia utilizando más de siete métodos diferentes, incluidos systemd, crontab y .bashrc shell injection.
Luego recibe comandos que filtran los datos recopilados a la infraestructura controlada por el atacante, lo que le permite ejecutar comandos de shell, administrar archivos, inyectar código en procesos, tomar capturas de pantalla, registrar pulsaciones de teclas, establecer servidores proxy SOCKS y túneles TCP, ejecutar archivos de objetos de baliza (BOF) e incluso administrar redes de malla de igual a igual (P2P).
Se desconoce exactamente cómo se distribuye el malware. Sin embargo, una vez que se establece un punto de apoyo, ingresa a una fase operativa importante al ejecutar un bucle persistente que intenta continuamente establecer y mantener la comunicación con el servidor de comando y control (C2) a través de TCP, HTTPS y HTTP sin formato. QLNX admite un total de 58 comandos diferentes, lo que brinda a los operadores un control total sobre los hosts comprometidos.
QLNX también viene con una puerta trasera de gancho en línea del Módulo de autenticación conectable (PAM) que intercepta las credenciales de texto sin cifrar durante los eventos de autenticación, registra los datos de la sesión SSH saliente y envía esos datos a un servidor C2. El malware también admite un segundo registrador de credenciales basado en PAM que se carga automáticamente en todos los procesos vinculados dinámicamente para extraer nombres de servicios, nombres de usuario y tokens de autenticación.
Emplea una arquitectura de rootkit de dos capas. Los rootkits del área de usuario se implementan a través del mecanismo LD_PRELOAD del vinculador dinámico de Linux, lo que garantiza que los artefactos y procesos del implante permanezcan ocultos. También hay un componente eBPF a nivel de kernel que utiliza el subsistema BPF para ocultar procesos, archivos y puertos de red de herramientas estándar del usuario como ps, ls y netstat cuando se reciben instrucciones del servidor C2.
«El implante QLNX fue diseñado para el robo de credenciales y sigilo a largo plazo», dijo Trend Micro. «Lo que hace que esto sea particularmente peligroso no es una sola característica, sino cómo esa funcionalidad se encadena en un flujo de trabajo de ataque consistente: llegada, borrado del disco, persistencia a través de seis mecanismos redundantes, ocultación tanto en el espacio del usuario como en el nivel del kernel y, lo más importante, la recopilación de credenciales».
Source link
