Les chercheurs ont découvert un malware Linux appelé QLNX qui combine un réseau P2P, des rootkits, des portes dérobées PAM et une exécution sans fichier pour persister et échapper aux retraits.
Les attaquants ont trouvé un nouveau moyen de transformer les systèmes Linux en centres de distribution de chaîne d’approvisionnement furtifs et résistants aux retraits.
Des chercheurs de Trend Micro ont dévoilé un nouveau framework de malware, baptisé Quasar Linux ou QLNX, le décrivant comme un cheval de Troie d’accès à distance (RAT) Linux modulaire. Mais ce qui distingue la campagne, ce sont les logiciels malveillants utilisant une capacité de maillage P2P qui transforme les implants individuels en un réseau d’infection interconnecté, ce qui rend la campagne difficile à tuer.
QLNX combine également des fonctionnalités de rootkit au niveau du noyau, des portes dérobées d’authentification basées sur PAM et des mécanismes de persistance pour rester caché sur les systèmes compromis tout en permettant l’accès aux attaquants.
« Quasar Linux RAT (QLNX) est un implant Linux complet qui combine des capacités d’accès à distance avec des fonctionnalités avancées d’évasion, de persistance, d’enregistrement de frappe et de collecte d’informations d’identification », ont déclaré les chercheurs dans un article de blog. « Le malware contient du code source C intégré pour sa porte dérobée PAM et son rootkit LD_PRELOAD sous forme de chaînes littérales dans le binaire. »
Se méfier de la menace implique de paramétrer la détection des indicateurs de compromission (IOC) partagés par Trend Micro, qui sont tous désormais appliqués aux protections souscrites par les clients Trend Vision One.
Réseau P2P et infrastructure C2 en couches
La divulgation faisait état d’une conception de commandement et de contrôle (C2) résiliente destinée à résister aux démontages et aux perturbations. Les chercheurs ont déclaré que QLNX prend en charge les réseaux maillés peer-to-peer (P2P), permettant aux systèmes compromis de communiquer entre eux plutôt que de s’appuyer entièrement sur des serveurs centralisés.
Cela transforme les systèmes Linux infectés en points de relais interconnectés capables de maintenir la communication même lorsque des parties de l’infrastructure sont perturbées. C’est un autre facteur contribuant à la difficulté d’une élimination complète.
Le commandement et contrôle (C2) exploite un pack de commandes polyvalent. « Au total, QLNX enregistre 58 commandes distinctes, couvrant un large éventail de fonctionnalités post-compromise, notamment la manipulation du système de fichiers, le tunneling réseau, la collecte d’informations d’identification et la gestion des rootkits », ont indiqué les chercheurs, détaillant une liste complète des commandes enregistrées et leurs gestionnaires correspondants.
Pour la communication réseau, QLNX prend en charge les protocoles TCP, HTTPS et HTTP bruts. « Les trois transports portent le même protocole de commande binaire sous-jacent », a écrit Trend Micro. « Les canaux TCP et HTTPS sont sécurisés à l’aide de TLS, garantissant que les échanges de commandes et de données sont cryptés pendant la communication réseau. »
Persistance via les rootkits et les portes dérobées PAM
Les chercheurs ont également parlé de l’utilisation par QLNX de rootkits et de modules d’authentification enfichables Linux (PAM) pour établir une persistance à long terme. Selon Trend Micro, le malware exploite la fonctionnalité du rootkit pour dissimuler les activités, processus et composants malveillants aux outils d’administration et aux systèmes de surveillance de la sécurité.
Le logiciel malveillant a également été observé en train de falsifier PAM, un cadre d’authentification central de Linux chargé de gérer la vérification des connexions sur de nombreux services. En modifiant les composants PAM, les attaquants peuvent potentiellement capturer les informations d’identification, maintenir l’accès ou contourner les contrôles d’authentification même après la modification des mots de passe.
Trend Micro a averti que ces techniques augmentent considérablement la difficulté d’élimination, car elles garantissent la persistance même après avoir effacé les artefacts visibles du malware.
Le QLNX modulaire se cache à travers des processus usurpés
L’analyse de Trend Micro décrit QLNX comme un framework modulaire de logiciels malveillants Linux conçu pour la furtivité. Il s’appuie sur une logique interne en couches qui permet aux opérateurs de charger dynamiquement des capacités, de maintenir la persistance et d’exécuter des commandes sans déclencher d’alarme.
Une caractéristique particulière soulignée par les chercheurs était le comportement d’usurpation d’identité du logiciel malveillant. Il cache les processus malveillants sous des noms qui imitent les services Linux légitimes et les binaires du système pour se fondre dans les flux de travail administratifs de routine.
« Le malware tente d’échapper à la détection en sélectionnant au hasard l’un des faux noms de thread du noyau », ont déclaré les chercheurs, ajoutant que les noms tentent d’imiter les threads légitimes du noyau tels que « Thread de travail du noyau », « thread de migration CPU » et « thread de planification RCU », entre autres. Une fois qu’un nom est sélectionné, « QLNX applique le nom de manière cohérente sur trois emplacements de métadonnées de processus pour garantir la cohérence entre tous les outils d’inspection de processus », ont-ils ajouté.
Le malware s’inscrit également dans la tendance actuelle de la livraison sans fichier. « Lors de l’exécution, QLNX se copie dans un fichier en mémoire, se réexécute à partir de cette copie en mémoire et supprime le binaire d’origine du disque, ne laissant aucune empreinte sur le disque », ajoute la divulgation.
Trend Micro a ajouté une liste d’IOC, comprenant des hachages de fichiers, des mots de passe codés en dur, des cibles de collecte d’informations d’identification et d’autres artefacts de compilation et de persistance, pour prendre en charge les efforts de détection.
