Новости Новый опасный руткит Pumakit атакует Linux

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
30.126
Репутация
11.800
Реакции
62.445
RUB
50
В киберпространстве обнаружен новый звездный руткит, ориентированный на системы Linux.

Вредонос, получивший название Pumakit , использует передовые методы скрытности и управления, чтобы оставаться незамеченным и получить полный контроль над телефоном. Этот зловредный инструмент уже был замечен в некоторых кибератаках, что вызывает серьезные опасения у экспертов в области информационной безопасности.

Новый опасный руткит Pumakit атакует Linux


Исследователи Elastic Security впервые зафиксировали Pumakit в подозрительном бинарном файле, загруженном на платформу VirusTotal в сентябре 2024 года. Файл под названием «cron» оказался дроппером, запускающим сложную многоступенчатую схему заражения. Как понятно, руткит состоит из нескольких компонентов: исполняемые файлы, работа в памяти, модуль ядра системы и модуль уровня пользователя.

Pumakit начинается с активации дроппера «cron», который загружает и поддерживает два конкурентных модуля в памяти — «/memfd :tgt « и «/memfd :wpn « . После выполнения требований требования разворачивает модуль ядра «puma.ko» , который получает привилегированный доступ к системе. Для усиления атаки используется пользовательский модуль «lib64/libs.so» , который внедряется в процессы с помощью LD_PRELOAD и перехватывает системные вызовы, скрывая следы присутствия вредоноса.

Pumakit использует функцию kallsyms_lookup_name() , что делает его опасным для консольных версий ядра Linux (до версии 5.7). Исследователи делают вывод, что этот руткит отличается от современных оригинальных, так как он не использует стандартные инструменты, такие как kprobes, а также включает в себя более старые, но все еще эффективные методы взаимодействия с системой.

Эксперты отмечают, что Pumakit научился скрывать свое присутствие в логах и опасаться обнаружения большинства современных антивирусов. Это делает его особенно опасным для серверов и устройств, работающих на устаревших версиях Linux, где обновления безопасности давно не применялись.

Специалисты рекомендуют системным администраторам работать на ядрах старых версий, срочно доводить ОС до последних стабильных сборок, а также усиливать процессы мониторинга в системе.


 
Назад
Сверху Снизу