Um implante Linux até então não documentado, com o codinome Quasar Linux RAT (QLNX), está mirando sistemas de desenvolvedores para estabelecer uma presença silenciosa e habilitar uma ampla gama de funções após a invasão, como coleta de credenciais, keylogging, manipulação de arquivos, monitoramento da área de transferência e tunelamento de rede.
“QLNX mira credenciais de desenvolvedores e de DevOps ao longo da supply chain de software”, afirmaram os pesquisadores da Trend Micro Aliakbar Zahravi e Ahmed Mohamed Ibrahim em uma análise técnica do malware.
“Seu coletor de credenciais extrai segredos de arquivos de alto valor, como .npmrc (tokens do npm), .pypirc (credenciais do PyPI), .git-credentials, .aws/credentials, .kube/config, .docker/config.json, .vault-token, credenciais do Terraform, tokens do GitHub CLI e arquivos .env.
A invasão desses ativos pode permitir que o operador publique pacotes maliciosos nos repositórios do NPM ou do PyPI, acesse a infraestrutura em cloud ou avance lateralmente por pipelines de CI/CD.”
A capacidade do malware de coletar de forma sistemática um grande volume de credenciais representa um risco grave para ambientes de desenvolvimento.
Um threat actor que consiga implantar com sucesso o QLNX contra o mantenedor de um pacote obtém acesso não autorizado ao seu fluxo de publicação, o que permite enviar versões contaminadas e provocar impactos em cadeia em sistemas downstream.
O QLNX é executado diretamente da memória, sem deixar arquivos no disco, se disfarça como uma thread do kernel, como kworker ou ksoftirqd, e consegue fazer o perfil do host para identificar ambientes conteinerizados.
Ele também apaga logs do sistema para encobrir rastros e estabelece persistência por meio de pelo menos sete métodos diferentes, incluindo systemd, crontab e injeção de shell no .bashrc.
Além disso, o malware exfiltra os dados coletados para uma infraestrutura controlada pelo invasor e recebe comandos que permitem executar comandos de shell, gerenciar arquivos, injetar código em processos, capturar telas, registrar teclas digitadas, criar proxies SOCKS e túneis TCP, executar arquivos BOF e até administrar uma rede mesh ponto a ponto.
Ainda não se sabe exatamente como o malware é distribuído.
No entanto, uma vez estabelecida a presença inicial, ele entra em uma fase principal de operação com um loop persistente que tenta continuamente estabelecer e manter comunicação com o servidor de command and control (C2) via TCP bruto, HTTPS e HTTP.
No total, o QLNX suporta 58 comandos distintos, que dão aos operadores controle total sobre o host comprometido.
O QLNX também conta com uma backdoor baseada em Pluggable Authentication Module (PAM) com inline hook, que intercepta credenciais em texto claro durante eventos de autenticação, registra os dados de sessões SSH de saída e transmite essas informações ao servidor C2.
O malware ainda oferece um segundo registrador de credenciais baseado em PAM, carregado automaticamente em todo processo dinamicamente vinculado, para extrair o nome do serviço, o nome de usuário e o token de autenticação.
Ele adota uma arquitetura de rootkit em duas camadas.
Há um rootkit em userland implantado por meio do mecanismo LD_PRELOAD do carregador dinâmico do Linux, com o objetivo de manter ocultos os artefatos e os processos do implante.
Também existe um componente eBPF em nível de kernel que usa o subsistema BPF para esconder processos, arquivos e portas de rede de ferramentas comuns de userland, como ps, ls e netstat, quando recebe instruções do servidor C2.
“O implante QLNX foi construído para furtividade de longo prazo e roubo de credenciais”, disse a Trend Micro.
“O que o torna particularmente perigoso não é uma única capacidade, mas a forma como suas funções se encadeiam em um fluxo de ataque coerente: chega, apaga rastros do disco, persiste por meio de seis mecanismos redundantes, se oculta tanto em nível de usuário quanto de kernel e, então, coleta as credenciais mais valiosas.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...