Quasar Linux: Neue Schadsoftware nimmt gezielt Entwicklersysteme ins Visier

Zusammenfassung

Sicherheitsforscher des Unternehmens Trend Micro haben ein zuvor undokumentiertes Linux-Implantat namens Quasar Linux (QLNX) analysiert, das gezielt die Systeme von Softwareentwicklern angreift. Das Schadprogramm vereint Funktionen eines Rootkits, einer Backdoor und eines Werkzeugs zum Diebstahl von Zugangsdaten. Eingesetzt wird es in Entwicklungs- und DevOps-Umgebungen, in denen Werkzeuge wie npm, PyPI, GitHub, AWS, Docker und Kubernetes zum Einsatz kommen. Dadurch könnten Angreifer Lieferketten kompromittieren, indem sie manipulierte Pakete auf Plattformen zur Codeverteilung veröffentlichen. Laut Trend Micro ist QLNX auf Tarnung und dauerhafte Persistenz ausgelegt: Es läuft im Arbeitsspeicher, löscht die ursprüngliche Binärdatei von der Festplatte, bereinigt Protokolle, verschleiert Prozessnamen und entfernt forensisch relevante Umgebungsvariablen. Indem die Angreifer Entwickler-Arbeitsplätze ins Visier nehmen, können sie unternehmensweite Sicherheitskontrollen umgehen und an jene Zugangsdaten gelangen, auf denen die Software-Lieferketten beruhen. Zum Zeitpunkt der Veröffentlichung wird das Implantat nur von vier Sicherheitslösungen als bösartig erkannt. Trend Micro hat Indikatoren für eine Kompromittierung (IoCs) bereitgestellt, mit denen sich Infektionen aufspüren lassen.

Das Implantat QLNX ist kein einzelnes Schadprogramm, sondern ein vollständiges Angriffswerkzeug, das aus mehreren funktionalen Bausteinen für jeweils spezifische Aufgaben besteht. Nach dem ersten Zugriff auf ein System richtet es einen dateilosen Brückenkopf ein, installiert Mechanismen zur Persistenz und Tarnung und sammelt anschließend Zugangsdaten von Entwicklern sowie für Cloud-Dienste.

Laut der Analyse von Trend Micro kompiliert QLNX seine Komponenten dynamisch direkt auf dem Zielsystem: Die Rootkit-Shared-Objects und die PAM-Backdoor-Module werden mithilfe des Compilers gcc (GNU Compiler Collection) auf dem befallenen Host erzeugt.

Für die dauerhafte Verankerung im System nutzt die Schadsoftware sieben verschiedene Persistenzmechanismen, darunter LD_PRELOAD, systemd, crontab, init.d-Skripte, XDG-Autostart und das Einschleusen von Code in die Datei „.bashrc". Auf diese Weise wird das Implantat in jeden dynamisch gelinkten Prozess geladen und startet selbst dann neu, wenn es beendet wird.

Die Stoßrichtung des Angriffs liegt auf den Arbeitsplätzen von Entwicklern. Über diese können Angreifer die Sicherheitsvorkehrungen eines Unternehmens umgehen und an die Zugangsdaten gelangen, die den Pipelines zur Softwareauslieferung zugrunde liegen. Trend Micro verweist auf jüngste Vorfälle in Lieferketten, bei denen gestohlene Entwickler-Zugangsdaten genutzt wurden, um mit Schadcode versehene Pakete in öffentliche Repositories einzuschleusen.

Zu konkreten Angriffen oder einer Zuordnung der Urheber macht Trend Micro keine Angaben. Damit bleibt offen, in welchem Umfang QLNX bereits verbreitet ist und wie aktiv die dahinterstehenden Akteure vorgehen.

Zum Zeitpunkt der Veröffentlichung erkennen nur vier Sicherheitslösungen die Binärdatei des Quasar-Linux-Implantats als bösartig. Zur Unterstützung der Verteidiger hat Trend Micro Indikatoren für eine Kompromittierung (IoCs) veröffentlicht, die beim Aufspüren und Abwehren von QLNX-Infektionen helfen sollen.

Quasar Linux: Neue Schadsoftware nimmt gezielt Entwicklersysteme ins Visier

Ähnliche Artikel

Neueste Artikel