Специалисты Trend Micro изучили ранее не описанный имплант Quasar Linux, также известный как QLNX. Вредоносная программа сочетает функции руткита, бэкдора и инструмента для кражи учётных данных. По данным компании, QLNX разворачивают в средах разработки и DevOps, связанных с npm, PyPI, GitHub, AWS, Docker и Kubernetes, передаёт Securitylab. Главная опасность такого подхода связана с доступом к ключам, токенам и настройкам, которые лежат в основе сборки и доставки ПО. Получив контроль над рабочей станцией разработчика, злоумышленники могут обойти часть корпоративных средств защиты и использовать украденные данные для публикации заражённых пакетов в открытых репозиториях. QLNX рассчитан на скрытную работу и долгую жизнь в системе. Имплант работает в памяти, удаляет исходный бинарный файл с диска, чистит журналы, маскирует имена процессов и стирает следы, которые могли бы помочь при расследовании. Trend Micro указывает, что вредоносная программа прямо на заражённом хосте компилирует компоненты руткита и PAM-модули для бэкдора через GNU Compiler Collection. Для закрепления QLNX использует сразу семь механизмов, включая LD_PRELOAD, systemd, crontab, init.d, XDG autostart и внедрение в .bashrc. Такой набор помогает вредоносной программе загружаться в динамически связанные процессы и восстанавливаться после попыток завершить работу. Функциональность импланта покрывает почти весь цикл атаки. QLNX даёт оператору удалённую оболочку, управляет файлами и процессами, поддерживает связь с командным сервером по TCP/TLS или HTTP/S, скрывает процессы, файлы и сетевые порты через пользовательский руткит и eBPF-компонент на уровне ядра. Отдельные модули крадут SSH-ключи, браузерные данные, облачные и конфигурации разработчиков, содержимое /etc/shadow и буфер обмена, а также перехватывают учётные данные через PAM. Аналогичный по направленности инцидент недавно был зафиксирован в экосистеме PyPI: заражённый пакет искал SSH-ключи, токены AWS и секреты Kubernetes прямо в окружении разработчика. Вредоносный набор также умеет записывать нажатия клавиш, делать скриншоты, отслеживать файловую активность через inotify, строить TCP-туннели, поднимать SOCKS-прокси, сканировать порты и перемещаться по инфраструктуре через SSH. Поддержка одноранговой сети помогает сохранять управление даже при сбоях отдельных узлов.
Новый Linux-имплант Quasar Linux угрожает всей цепочке разработки ПО
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования