開発者ワークステーションへの侵害は、脅威アクターがLinuxネットワークに対して仕掛けられる最も壊滅的な攻撃の一つです。
感染した1台のマシンから、ソースリポジトリ、署名鍵、本番クラウドの認証情報が漏洩し、大規模なソフトウェアサプライチェーンインシデントを引き起こす可能性があります。
TrendMicroのセキュリティ研究者が最近発見したQuasar Linux(QLNX)は、Linux環境向けに特別に設計された、高度にステルス性の高いリモートアクセス型トロイの木馬(RAT)です。
従来のマルウェアとは異なり、QLNXはファイルレス実行と動的コンパイルを活用することで、標準的なエンドポイント検出・応答(EDR)ソリューションに対してほぼ不可視の状態を維持します。
QLNXは、Ubuntu、Debian、RHELなどの主要Linuxディストリビューションを実行する開発者およびDevOpsワークステーションを標的にします。このマルウェアは、主に高価値な認証情報の窃取を目的とした58コマンドフレームワークを通じて動作します。
これらの環境に侵入することで、攻撃者はSSH秘密鍵、AWSおよびKubernetesの設定シークレット、Git個人アクセストークン(PAT)、NPMまたはPyPIレジストリトークンを収集します。
QLNXは自己完結型のELF(Executable and Linkable Format)バイナリとして展開されます。しかし、その実行時の活動はディスク上にほぼ認識可能な痕跡を残しません。
このマルウェアはmemfd_createシステムコールを使用して一時的なメモリ専用ファイルを作成します。そこにペイロードを書き込み、直接実行した後、元のディスクファイルを即座にアンリンクします。
このファイルレス実行技術により、実行中のプロセスは静的なウイルス対策スキャンやファイル整合性モニタを回避することができます。
隠れた存在を維持するために、QLNXは正規のカーネルワーカースレッドを模倣し、日常的なシステム監視に紛れ込みます。さらに、事前構築されたルートキットを持ち込む代わりに、マルウェアは生のCソースコードを埋め込んでいます。
実行時には、ホストのローカルGCCコンパイラを使用して、eBPFベースのカーネルルートキットとPAM(Pluggable Authentication Module)バックドアを動的にコンパイルします。
これにより被害者ごとに固有の共有オブジェクトが生成され、静的シグネチャ検出を無効化します。コンパイルされたルートキットは/etc/ld.so.preloadを改ざんすることで、システム全体へのライブラリインジェクションを強制します。
新たに生成されるすべてのプロセスが悪意のあるライブラリを読み込み、PAMフックがローカルログインおよびsudoイベントから平文パスワードを傍受・記録することを可能にします。
同時に、感染したホストは耐障害性のあるP2P(ピアツーピア)メッシュネットワークを構築し、単一のC2(コマンド&コントロール)サーバが停止しても攻撃者のアクセスが途絶えないようにします。
guardsixの調査によると、セキュリティチームはSIEMソリューション、auditdログ、およびFIM(ファイル整合性モニタリング)を使用した行動相関分析に依存する必要があります。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。MISP、VirusTotal、またはSIEMなどの管理されたスレットインテリジェンスプラットフォーム内でのみ、元の形式に戻してください。
翻訳元: https://cyberpress.org/fileless-quasar-rat-spreads/
