Intezer Labsは7月6日(米国時間)、「OrBit: New Undetected Linux Threat Uses Unique Hijack of Execution Flow」において、Linuxを標的とした検出されない新しいマルウェアの調査結果を報告した。このマルウェアは、実行されたコマンドの出力を一時的に保存するために.orbitというファイル名を使用することから「OrBit」と名付けられている。
OrBitは高度な回避技術を実装し、主要な機能をフックすることでシステム上で持続性を獲得するマルウェア。SSHを介したリモートアクセス機能の提供、資格情報の窃取、TTYコマンドをログに記録するなどさまざまな機能を持っている。このマルウェアがインストールされると、システム上で実行中のすべてのプロセスにバックドアが仕掛けられることも明らかとなった。バックドアにはプロセスで書き込まれているデータをログに記録する機能が提供されているという。
Symbiote、HiddenWaspといった通常のマルウェアが環境変数「LD_PRELOAD」を変更することで共有ライブラリを乗っ取る手口を取るのに対し、OrBitは悪意のあるライブラリをロードするために2つの異なる手口をとることが判明している。1つはローダによって使われる設定ファイルに共有オブジェクトを追加する手口で、もう1つはローダのバイナリにパッチを適用し、悪意のある共有オブジェクトをロードさせる手口をとっているという。
Intezer LabsはLinuxを標的とする脅威は、セキュリティツールの監視下にありながら進化を続けていると警告。OrBitは、回避可能で永続的な新しいマルウェアの可能性を示す1つの例としている。