Эта новая вредоносная программа руткита для Linux уже нацелена на жертв

Эта новая вредоносная программа руткита для Linux уже нацелена на жертв

15 июня 2022 г.

Обнаружен новый руткит, поражающий системы Linux, способный как загружать, так и скрытие, вредоносные программы.

Как выяснили исследователи кибербезопасности из Avast, руткит вредоносное ПО под названием Syslogk основан на старом рутките с открытым исходным кодом под названием Adore-Ng.

Он также находится на относительно ранней стадии (активной) разработки, поэтому еще неизвестно, превратится ли он в полномасштабную угрозу.

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Когда Syslogk загружается, он сначала удаляет свою запись из списка установленных модулей, а это означает, что единственный способ обнаружить ее — через открытый интерфейс в файловой системе /proc. Помимо сокрытия себя от ручной проверки, он также способен скрывать каталоги, в которых размещаются сброшенные вредоносные программы, скрывать процессы, а также сетевой трафик.

Но, пожалуй, самое главное — он может удаленно запускать или останавливать полезные нагрузки.

Войдите в Рекообе

Одна такая полезная нагрузка, обнаруженная исследователями Avast, называется ELF:Rekoob или более широко известна как Rekoobe. Это вредоносное ПО представляет собой троян-бэкдор, написанный на C. Syslogk может установить его на скомпрометированную конечную точку< /a>, а затем оставить его бездействующим, пока он не получит «волшебный пакет» от операторов вредоносного ПО. Волшебный карман может как запускать, так и останавливать вредоносные программы.

«Мы заметили, что руткит Syslogk (и полезная нагрузка Rekoobe) идеально сочетаются друг с другом при скрытом использовании в сочетании с поддельным SMTP-сервером», — объяснила Avast в своем блоге. «Подумайте, насколько скрытным это может быть; бэкдор, который не загружается до тех пор, пока на машину не будут отправлены какие-то магические пакеты. При запросе это оказывается законной службой, скрытой в памяти, скрытой на диске, удаленно «волшебным образом» выполняемой, скрытой в сети. Даже если он будет обнаружен во время сканирования сетевого порта, он все равно будет считаться законным SMTP-сервером».

Сам Rekoobe основан на TinyShell, поясняет BleepingComputer, который также имеет открытый исходный код и широко доступен. Он используется для выполнения команд, что означает, что именно здесь наносится ущерб — злоумышленники используют Rekoobe для кражи файлов, эксфильтрации конфиденциальной информации, захвата учетных записей и т. д.

Вредоносное ПО также легче обнаружить на этом этапе, а это означает, что мошенники должны быть особенно осторожны при развертывании и проведении второго этапа своей атаки.

Через: BleepingComputer< /а>


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE