C
月内に
開発者やDevOps環境を標的とした新しいLinux向けRAT「Quasar Linux RAT (QLNX)」
📌 一言でいうと
開発者やDevOps環境を標的とした新しいLinux向けRAT「Quasar Linux RAT (QLNX)」が発見されました。このマルウェアは、PAMバックドアやLD_PRELOADルートキットを動的にコンパイルして展開し、ファイルレスで動作することで検知を回避します。主な機能として、認証情報の窃取、キーログ、クリップボード監視、リモートアクセス用のネットワークトンネル作成などが含まれており、サプライチェーン攻撃のリスクを高めています。
🔍該当判定
- 社内でLinux OSを搭載したサーバーやPCを利用している
- エンジニアや開発者が、Linux環境でソフトウェア開発やDevOps運用を行っている
- Linuxサーバー上で、外部からリモートアクセス可能な環境を構築している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
開発環境における不審なプロセスの監視、LD_PRELOAD設定の監査、PAMモジュールの整合性チェック、およびエンドポイント検知・応答(EDR)ツールの導入を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux向け新型RAT「Quasar Linux RAT (QLNX)」への対応について
お疲れさまです。Linux環境を標的とした新型マルウェアに関する情報共有です。
■ 概要
Quasar Linux RAT (QLNX)は、開発者やDevOps環境を標的としたファイルレスのインプラントです。バイナリ内にCソースコードを保持し、実行時にPAMバックドアやLD_PRELOADルートキットを動的にコンパイルして展開することで、高度なステルス性と永続性を確保します。認証情報の窃取やキーログ、リモートアクセス機能を有しています。
■ 影響範囲
- Linuxベースの開発サーバー、DevOpsワークステーション
■ 対応手順
1. /etc/ld.so.preload 等の不審な設定変更がないか確認してください。
2. PAMモジュールの整合性を確認し、未承認の共有オブジェクトがロードされていないか監査してください。
3. 開発環境における不審なアウトバウンド通信(ネットワークトンネル)の監視を強化してください。
■ 参考情報
- Trend Micro Report
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。Linux環境を標的とした新型マルウェアに関する情報共有です。
■ 概要
Quasar Linux RAT (QLNX)は、開発者やDevOps環境を標的としたファイルレスのインプラントです。バイナリ内にCソースコードを保持し、実行時にPAMバックドアやLD_PRELOADルートキットを動的にコンパイルして展開することで、高度なステルス性と永続性を確保します。認証情報の窃取やキーログ、リモートアクセス機能を有しています。
■ 影響範囲
- Linuxベースの開発サーバー、DevOpsワークステーション
■ 対応手順
1. /etc/ld.so.preload 等の不審な設定変更がないか確認してください。
2. PAMモジュールの整合性を確認し、未承認の共有オブジェクトがロードされていないか監査してください。
3. 開発環境における不審なアウトバウンド通信(ネットワークトンネル)の監視を強化してください。
■ 参考情報
- Trend Micro Report
対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] Quasar Linux RAT (QLNX) Targeting Linux Development Environments
Dear Team,
We are sharing information regarding a newly discovered Linux-based malware called Quasar Linux RAT (QLNX).
■ Overview
QLNX is a fileless implant targeting developers and DevOps environments. It achieves stealth and persistence by dynamically compiling PAM backdoors and LD_PRELOAD rootkits from embedded C source code within the binary. It is capable of credential harvesting, keylogging, and establishing remote access tunnels.
■ Scope
- Linux-based development servers and DevOps workstations.
■ Mitigation Steps
1. Audit /etc/ld.so.preload and similar configurations for unauthorized entries.
2. Verify the integrity of PAM modules to ensure no malicious shared objects are loaded.
3. Enhance monitoring for suspicious outbound network traffic indicative of tunneling.
■ Reference
- Trend Micro Report
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing information regarding a newly discovered Linux-based malware called Quasar Linux RAT (QLNX).
■ Overview
QLNX is a fileless implant targeting developers and DevOps environments. It achieves stealth and persistence by dynamically compiling PAM backdoors and LD_PRELOAD rootkits from embedded C source code within the binary. It is capable of credential harvesting, keylogging, and establishing remote access tunnels.
■ Scope
- Linux-based development servers and DevOps workstations.
■ Mitigation Steps
1. Audit /etc/ld.so.preload and similar configurations for unauthorized entries.
2. Verify the integrity of PAM modules to ensure no malicious shared objects are loaded.
3. Enhance monitoring for suspicious outbound network traffic indicative of tunneling.
■ Reference
- Trend Micro Report
Priority: High
Deadline: Immediate review