Quasar Linux RAT (QLNX): Neuer Linux-Schädling greift Zugangsdaten von Entwicklern an

Zusammenfassung

Sicherheitsforscher von Trend Micro haben mit dem Quasar Linux RAT (QLNX) ein bislang nicht dokumentiertes Linux-Implantat beschrieben, das gezielt die Systeme von Entwicklern angreift. Laut den Trend-Micro-Forschern Aliakbar Zahravi und Ahmed Mohamed Ibrahim nistet sich die Schadsoftware unauffällig ein und eröffnet danach ein breites Spektrum an Folgeaktivitäten – vom Abgreifen von Zugangsdaten über Keylogging und Dateimanipulation bis hin zur Überwachung der Zwischenablage und zum Netzwerk-Tunneling. Im Zentrum steht der Diebstahl von Entwickler- und DevOps-Zugangsdaten entlang der Software-Lieferkette. QLNX durchsucht hochwertige Dateien wie .npmrc, .pypirc, .git-credentials, .aws/credentials, .kube/config, .docker/config.json, .vault-token, Terraform-Zugangsdaten, GitHub-CLI-Token und .env-Dateien nach Geheimnissen. Mit diesen Daten könnten Angreifer laut Trend Micro manipulierte Pakete in die NPM- oder PyPI-Registries einschleusen, auf Cloud-Infrastruktur zugreifen oder sich durch CI/CD-Pipelines bewegen. Besonders schwer wiegt der Zugriff auf die Veröffentlichungs-Pipeline eines Paket-Maintainers: Wer diese kontrolliert, kann vergiftete Versionen ausspielen, deren Folgen sich über nachgelagerte Systeme fortsetzen.

QLNX wird dateilos direkt aus dem Arbeitsspeicher ausgeführt und tarnt sich als Kernel-Thread, etwa unter Namen wie kworker oder ksoftirqd. Die Schadsoftware kann das befallene System analysieren, um containerisierte Umgebungen zu erkennen, löscht Systemprotokolle zur Verschleierung ihrer Spuren und richtet sich über mindestens sieben verschiedene Methoden dauerhaft ein – darunter systemd, crontab und das Einschleusen von Code in die .bashrc.

Die gesammelten Daten überträgt das Implantat an eine vom Angreifer kontrollierte Infrastruktur. Über empfangene Befehle lassen sich Shell-Kommandos ausführen, Dateien verwalten, Code in Prozesse injizieren, Screenshots anfertigen, Tastatureingaben mitschneiden, SOCKS-Proxys und TCP-Tunnel aufbauen, Beacon Object Files (BOFs) ausführen und sogar ein Peer-to-Peer-Mesh-Netzwerk verwalten. Wie QLNX zugestellt wird, ist laut Trend Micro unklar.

Nach dem ersten Zugriff geht die Schadsoftware in ihre Hauptbetriebsphase über: Eine dauerhafte Schleife versucht fortlaufend, die Verbindung zum Command-and-Control-Server (C2) über rohes TCP, HTTPS und HTTP herzustellen und aufrechtzuerhalten. Insgesamt unterstützt QLNX 58 verschiedene Befehle, die den Betreibern vollständige Kontrolle über den kompromittierten Rechner geben.

Zusätzlich bringt QLNX eine Backdoor mit, die sich als Inline-Hook in das Pluggable Authentication Module (PAM) einklinkt. Sie fängt Klartext-Zugangsdaten während der Authentifizierung ab, protokolliert ausgehende SSH-Sitzungsdaten und übermittelt diese an den C2-Server. Ein zweiter PAM-basierter Logger wird automatisch in jeden dynamisch gelinkten Prozess geladen, um Dienstname, Benutzername und Authentifizierungstoken auszulesen.

Zur Tarnung setzt der Schädling auf eine zweistufige Rootkit-Architektur. Ein Userland-Rootkit nutzt den Mechanismus LD_PRELOAD des dynamischen Linkers, um Artefakte und Prozesse des Implantats zu verbergen. Hinzu kommt eine Komponente auf Kernel-Ebene, die über das eBPF- beziehungsweise BPF-Subsystem auf Anweisung des C2-Servers Prozesse, Dateien und Netzwerk-Ports vor Standardwerkzeugen wie ps, ls und netstat verbirgt.

„Das QLNX-Implantat wurde für langfristige Tarnung und Diebstahl von Zugangsdaten gebaut“, erklärt Trend Micro. Gefährlich mache es nicht eine einzelne Funktion, sondern das Zusammenspiel der Fähigkeiten zu einem geschlossenen Angriffsablauf: ankommen, sich von der Festplatte tilgen, über mehrere redundante Mechanismen bestehen bleiben, sich sowohl im Userspace als auch auf Kernel-Ebene verstecken und schließlich die wichtigsten Zugangsdaten abgreifen.

Quasar Linux RAT (QLNX): Neuer Linux-Schädling greift Zugangsdaten von Entwicklern an

Ähnliche Artikel

Neueste Artikel