Quasar Linux RAT كيستهدف بيانات اعتماد المطورين وأصول سلسلة التزويد

خلاصة: باحثين أمنيين من Trend Micro وثقو Quasar Linux RAT (QLNX)، وهادا واحد البرنامج الخبيث (implant) فـ Linux ماكانش موثق من قبل، كيسرق بيانات اعتماد ديال المطورين و DevOps من npm، PyPI، AWS، Kubernetes، Docker، وأدوات CI/CD. هاد malware كيخدم بـ fileless execution، وتقنيات rootkit مزدوجة، وفيه 58 أمر (command) باش يحافظ على الوصول المستمر ويخبي راسو. اختراق ناجح يقدر يخلي المهاجم يسيفط حزم (packages) خبيثة أو يتحرك داخل البنية التحتية.

شنو واقع

باحثين أمنيين من Trend Micro، علي أكبر زهراوي وأحمد محمد إبراهيم، نشرو تحليل على QLNX، لي هو remote access trojan فـ Linux كيستهدف أنظمة المطورين. هاد البرنامج الخبيث كيركز باش يجمع بيانات اعتماد مخبية فملفات الإعدادات (configuration) وبيانات الاعتماد لي كتخدم بزاف فـ سلسلة التزويد ديال السوفتوير.

حاصد بيانات الاعتماد (credential harvester) ديال QLNX كيستخرج الأسرار من ملفات .npmrc (توكنز ديال npm) و .pypirc (بيانات اعتماد ديال PyPI) و .git-credentials و .aws/credentials و .kube/config و .docker/config.json و .vault-token، و بيانات اعتماد ديال Terraform، وتوكنز ديال GitHub CLI، وملفات .env. هاد malware كيخدم من الذاكرة (memory) بلا مايحط ملفات فالهارد ديسك (fileless)، وكيتخبى على شكل thread ديال الكيرنل بأسماء بحال kworker ولا ksoftirqd باش يتفادى الاكتشاف من أدوات مراقبة العمليات العادية (process enumeration).

هاد البرنامج كيقاد الوصول المستمر (persistence) بـ سبعة ديال الطرق مختلفة على الأقل، بحال systemd و crontab، وحقن فـ ملف .bashrc. وكيخدم بمعمارية rootkit ديال جوج طبقات: rootkit فمستوى userland كيتنشر عن طريق LD_PRELOAD لي هو الميكانيزم ديال dynamic linker فـ Linux، ومكون eBPF فمستوى الكيرنل (kernel) كيخدم بـ BPF subsystem باش يخبي العمليات والملفات ومنافذ الشبكة (network ports) على أدوات بحال ps و ls و netstat.

غير كيبدى يخدم، QLNX كيحافظ على الاتصال بسيرفورات القيادة والتحكم (command-and-control) عن طريق بروتوكولات TCP و HTTPS و HTTP بشي حلقة مستمرة (persistent loop). هاد malware كيدعم 58 أمر (command) كل واحد بوحدو لي كيمكن المشغلين ديالو باش ينفذو أوامر shell، يجيريو الملفات، يحقنو الكود فالعمليات (processes)، ياخدو سكرينشوت، يسجلو الضربات فـ الكلافيي (keystrokes)، يقادو بروكسيات SOCKS و TCP tunnels، يخدمو Beacon Object Files، ويسيرو شبكات peer-to-peer mesh.

QLNX فيه جوج ديال باب خلفي (backdoor) مبنيين على Pluggable Authentication Module (PAM). الأولاني كيعترض بيانات اعتماد بـ plaintext فاش كتكون عملية تسجيل الدخول (authentication)، كيسجل البيانات ديال جلسات SSH لي خارجة، وكيصيفط هادشي كامل لـ C2 server. الباب الخلفي التاني كيتحمل بوحدو فـ أي process كيخدم بـ dynamic linking باش يستخرج أسماء الخدمات (service names)، أسماء المستخدمين (usernames)، والتوكنز ديال المصادقة.

هاد malware قادر يحلل السيرفور لي فيه باش يكتاشف واش خدام فبيئات كونتينر (containerized environments) ويمسح logs ديال النظام باش ما يخلي تا أثر. كيفاش هاد QLNX كيوصل للأنظمة فالأول (delivery mechanism) ما زال ماتكشفاتش لدابا.

علاش هادشي مهم

بالنسبة للمطورين والناس ديال DevOps فمنطقة الشرق الأوسط وشمال إفريقيا، QLNX كيمثل تهديد مباشر لـ بيانات اعتماد لي كتحمي الوصول للمستودعات ديال الحزم (package repositories) والبنية التحتية السحابية (cloud infrastructure). اختراق ناجح ضد شي package maintainer ولا مهندس DevOps يقدر يخلي أي مهاجم:

• يحط (push) حزم خبيثة فـ NPM ولا PyPI registries، وهادشي غيأثر على المستخدمين العاديين
• يوصل لحسابات وموارد البنية التحتية السحابية
• يتحرك ويتوغل فـ CI/CD pipelines باش يخترق أنظمة البناء (build systems) والأهداف ديال النشر
• يحط باب خلفي (backdoor) مستمر فأنظمة متعددة عن طريق 58 أمر (command) لي متوفرين عندو
• يجمع بيانات اعتماد ديال SSH باش يتحرك أفقيا (lateral movement) فالشبكات
• يخبي ݣاع الآثار ديال الهجوم عن طريق مسح logs والتخفي بـ rootkit مزدوج (dual-layer)

الجمع بين fileless execution، وطرق حماية الوصول المستمر المتعددة، والتخفي فـ مستوى الكيرنل (kernel) كيخلي QLNX صعيب بزاف يتكتاشف عن طريق المراقبة العادية لي كتعمد على السيرفور. الشركات لي كيعتامدو باش يكتاشفو التهديدات غير على مراقبة العمليات وتحليل logs يقدر مايردوش البال ݣاع باللي QLNX كاين.

الأنظمة المتضررة و CVEs

• أنظمة Linux (الاختراق ممكن فـ userland ومستوى الكيرنل)
• npm package registry
• PyPI package registry
• البنية التحتية السحابية ديال AWS
• الكلاسترز (clusters) ديال Kubernetes
• بيئات Docker
• ديبلويمون ديال Terraform
• GitHub CLI
• أنظمة المصادقة ديال SSH
• CI/CD pipelines لي كتستعمل الأدوات لي ذكرنا الفوق

ماتعطى تا CVE وقت النشر.

شنو خاصنا نديرو

المقال الأصلي ماكيعطيش خطوات واضحة ديال الحماية ولا توصيات دفاعية، ولكن الشركات خاص يشوفو هاد الخطوات:

• يحددو شكون هما الأنظمة لي عندهم الحق ينشرو (publish) حزم لـ npm و PyPI عن طريق بيانات اعتماد معزولة ومحمية (hardened)
• يخدمو بأدوات مراقبة سلامة الكيرنل وتطبيق سياسات ديال eBPF فين ما كان هادشي ممكن
• يراقبو أي حاجة تقدر تبان بحال persistence mechanism مفاجئة (timers ديال systemd، وإدخالات فـ crontab، والتغييرات بملفات shell RC)
• يراجعو ويعزلو (segmenting) الوصول ديال SSH للحسابات ديال المطورين و DevOps
• يخدمو المراقبة على نزاهة الملفات (file integrity monitoring) فـ الملفات ديال بيانات اعتماد (.npmrc و .pypirc و .aws/credentials و .kube/config)
• يكتاشفو تنفيذ malware من نوع fileless من خلال scan ديال الذاكرة وتحليل السلوك (behavioral analysis)
• يعزلو الأنظمة لي مكلفة بنشر الحزم على الأجهزة العادية ديال المطورين (developer workstations)

أسئلة باقة مفتوحة

• كيفاش QLNX كيوصل للأنظمة المستهدفة فالبدية مازال ماباينش
• التحليل مافيهش سميات لضحايا معينين ولا حوادث مؤكدة
• فاعل التهديد ولا الݣروپ لي كيسير QLNX مازال ماتعرفش شكون هو
• الإطار الزمني ديال الاكتشاف ديال QLNX والديبلويمون ديالو فالبدية مامحددش
• النطاق الجغرافي والأولويات ديال الاستهداف مامفصلينش
• ماقالوش واش هاد QLNX تشاف خدام فـ شي هجمات نشطة على أنظمة الإنتاج (production systems)

المصدر

Quasar Linux RAT Steals Developer Credentials for Software Supply Chain Compromise