一度感染すると検出が非常に困難になるという Linux のマルウェア「Symbiote」について、Intezer と BlackBerry Threat Research & Intelligence Team が共同で調査結果を発表している (Intezer のブログ記事[1]、 [2]、 Ars Technica の記事、 The Register の記事)。

Symbiote はスタンドアロンの実行ファイルではなく共有ライブラリであり、LD_PRELOAD 環境変数を用いてすべてのプロセスの実行時に読み込ませる仕組みだ。すべてのプロセスに感染後は、ルートキットとしてマルウェア関連ファイルをすべて隠ぺい可能になるほか、Barkeley Packet Filter (BPF) をフックしてパケットキャプチャツールから自身のネットワークトラフィックを隠ぺいする。マルウェアとしての機能は認証情報の収集とバックドアで、使用ドメイン名によればブラジルの銀行に成りすましているとみられるが、実際の攻撃に関する明確な証拠は得られていないとのことだ。

すべて読む | Linuxセクション | Linux | セキュリティ |

関連ストーリー：
Linux 5.15 でマージされた NTFS3 ドライバー、既に orphan 化との指摘も 2022年05月03日
Linux、フロッピーディスクコントローラーに低レベルコマンドを送る FDRAWCMD 無効化へ 2022年04月30日
Raspberry Pi OS、最新リリースでデフォルトユーザーアカウント「pi」を廃止 2022年04月10日
RHEL9からSELinuxの無効化の仕様が変更される 2022年03月23日
Linuxカーネルに特権昇格の脆弱性「Dirty Pipe」が報告される 2022年03月11日
Polkit に 12 年前の最初のバージョンから存在した脆弱性「Pwnkit」 2022年01月30日
Linuxカーネルの"依存関係地獄"解消目指す「Fast Kernel Headers」 2022年01月13日
2 月 31 日にスケジュールした crontab タスクにペイロードを隠すマルウェア「CronRAT」 2021年11月30日
Windows Subsystem for Linuxをターゲットにしたマルウェア 2021年09月20日