⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um implante Linux anteriormente não documentado, codinome Quasar Linux RAT (QLNX), tem como alvo os sistemas dos desenvolvedores para estabelecer uma base silenciosa, bem como facilitar uma ampla gama de funcionalidades pós-comprometimento, como coleta de credenciais, keylogging, manipulação de arquivos, monitoramento da área de transferência e tunelamento de rede.
“O QLNX tem como alvo desenvolvedores e credenciais de DevOps em toda a cadeia de fornecimento de software”, disseram os pesquisadores da Trend Micro, Aliakbar Zahravi e Ahmed Mohamed Ibrahim, em uma análise técnica do malware.
"Seu coletor de credenciais extrai segredos de arquivos de alto valor, como .npmrc (tokens npm), .pypirc (credenciais PyPI), .git-credentials, .aws/credentials, .kube/config, .docker/config.json, .vault-token, credenciais Terraform, tokens GitHub CLI e arquivos .env. O comprometimento desses ativos pode permitir que o operador envie pacotes maliciosos para NPM ou registros PyPI, acesse a infraestrutura em nuvem ou gire por meio de pipelines de CI/CD."
A capacidade do malware de coletar sistematicamente uma ampla gama de credenciais representa um grave risco para os ambientes de desenvolvedores. Um agente de ameaça que implementa com sucesso o QLNX contra um mantenedor de pacote obtém acesso não autorizado ao seu pipeline de publicação, permitindo que o invasor envie versões envenenadas que podem levar a impactos downstream em cascata.
O QLNX é executado sem arquivo a partir da memória, se disfarça como um thread de kernel (por exemplo, kworker ou ksoftirqd) e é capaz de criar perfis do host para detectar ambientes em contêineres, limpar logs do sistema para encobrir os rastros e configurar a persistência usando pelo menos sete métodos diferentes, incluindo injeção de shell systemd, crontab e .bashrc.
Além disso, ele exfiltra os dados coletados para uma infraestrutura controlada pelo invasor e recebe comandos que tornam possível executar comandos shell, gerenciar arquivos, injetar código em processos, fazer capturas de tela, registrar pressionamentos de teclas, estabelecer proxies SOCKS e túneis TCP, executar Beacon Object Files (BOFs) e até mesmo gerenciar uma rede mesh peer-to-peer (P2P).
Exatamente como o malware é entregue não está claro. No entanto, uma vez estabelecido um ponto de apoio, ele entra em uma fase operacional primária executando um loop persistente que tenta continuamente estabelecer e manter a comunicação com o servidor de comando e controle (C2) por meio de TCP, HTTPS e HTTP brutos. No total, o QLNX oferece suporte a 58 comandos distintos que dão aos operadores controle completo do host comprometido.
O QLNX também vem com um backdoor de gancho embutido Pluggable Authentication Module (PAM) que intercepta credenciais de texto simples durante eventos de autenticação, registra dados de sessão SSH de saída e transmite os dados para o servidor C2. O malware também oferece suporte a um segundo registrador de credenciais baseado em PAM que é carregado automaticamente em cada processo vinculado dinamicamente para extrair o nome do serviço, nome de usuário e token de autenticação.
Ele emprega uma arquitetura de rootkit de duas camadas: um rootkit de usuário implantado por meio do mecanismo LD_PRELOAD do vinculador dinâmico do Linux para garantir que os artefatos e processos do implante permaneçam ocultos. Também existe um componente eBPF em nível de kernel que usa o subsistema BPF para ocultar processos, arquivos e portas de rede de ferramentas de usuário padrão, como ps, ls e netstat, ao receber instruções do servidor C2.
“O implante QLNX foi construído para furtividade e roubo de credenciais de longo prazo”, disse a Trend Micro. “O que o torna particularmente perigoso não é um único recurso, mas como seus recursos se encadeiam em um fluxo de trabalho de ataque coerente: chegar, apagar do disco, persistir por meio de seis mecanismos redundantes, ocultar-se tanto no espaço do usuário quanto no nível do kernel e, em seguida, coletar as credenciais que mais importam.”
“O QLNX tem como alvo desenvolvedores e credenciais de DevOps em toda a cadeia de fornecimento de software”, disseram os pesquisadores da Trend Micro, Aliakbar Zahravi e Ahmed Mohamed Ibrahim, em uma análise técnica do malware.
"Seu coletor de credenciais extrai segredos de arquivos de alto valor, como .npmrc (tokens npm), .pypirc (credenciais PyPI), .git-credentials, .aws/credentials, .kube/config, .docker/config.json, .vault-token, credenciais Terraform, tokens GitHub CLI e arquivos .env. O comprometimento desses ativos pode permitir que o operador envie pacotes maliciosos para NPM ou registros PyPI, acesse a infraestrutura em nuvem ou gire por meio de pipelines de CI/CD."
A capacidade do malware de coletar sistematicamente uma ampla gama de credenciais representa um grave risco para os ambientes de desenvolvedores. Um agente de ameaça que implementa com sucesso o QLNX contra um mantenedor de pacote obtém acesso não autorizado ao seu pipeline de publicação, permitindo que o invasor envie versões envenenadas que podem levar a impactos downstream em cascata.
O QLNX é executado sem arquivo a partir da memória, se disfarça como um thread de kernel (por exemplo, kworker ou ksoftirqd) e é capaz de criar perfis do host para detectar ambientes em contêineres, limpar logs do sistema para encobrir os rastros e configurar a persistência usando pelo menos sete métodos diferentes, incluindo injeção de shell systemd, crontab e .bashrc.
Além disso, ele exfiltra os dados coletados para uma infraestrutura controlada pelo invasor e recebe comandos que tornam possível executar comandos shell, gerenciar arquivos, injetar código em processos, fazer capturas de tela, registrar pressionamentos de teclas, estabelecer proxies SOCKS e túneis TCP, executar Beacon Object Files (BOFs) e até mesmo gerenciar uma rede mesh peer-to-peer (P2P).
Exatamente como o malware é entregue não está claro. No entanto, uma vez estabelecido um ponto de apoio, ele entra em uma fase operacional primária executando um loop persistente que tenta continuamente estabelecer e manter a comunicação com o servidor de comando e controle (C2) por meio de TCP, HTTPS e HTTP brutos. No total, o QLNX oferece suporte a 58 comandos distintos que dão aos operadores controle completo do host comprometido.
O QLNX também vem com um backdoor de gancho embutido Pluggable Authentication Module (PAM) que intercepta credenciais de texto simples durante eventos de autenticação, registra dados de sessão SSH de saída e transmite os dados para o servidor C2. O malware também oferece suporte a um segundo registrador de credenciais baseado em PAM que é carregado automaticamente em cada processo vinculado dinamicamente para extrair o nome do serviço, nome de usuário e token de autenticação.
Ele emprega uma arquitetura de rootkit de duas camadas: um rootkit de usuário implantado por meio do mecanismo LD_PRELOAD do vinculador dinâmico do Linux para garantir que os artefatos e processos do implante permaneçam ocultos. Também existe um componente eBPF em nível de kernel que usa o subsistema BPF para ocultar processos, arquivos e portas de rede de ferramentas de usuário padrão, como ps, ls e netstat, ao receber instruções do servidor C2.
“O implante QLNX foi construído para furtividade e roubo de credenciais de longo prazo”, disse a Trend Micro. “O que o torna particularmente perigoso não é um único recurso, mas como seus recursos se encadeiam em um fluxo de trabalho de ataque coerente: chegar, apagar do disco, persistir por meio de seis mecanismos redundantes, ocultar-se tanto no espaço do usuário quanto no nível do kernel e, em seguida, coletar as credenciais que mais importam.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #quasar #linux #rat #rouba #credenciais #de #desenvolvedor #por #comprometimento #da #cadeia #de #suprimentos #de #software
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário