Zespół Elastic Security Lab odkrył nowy rootkit dla systemu Linux o nazwie PUMAKIT. Malware wykorzystuje moduł jądra (LKM) do eskalacji uprawnień, ukrywania plików oraz komunikacji z serwerami Command & Control (C2) - centrami zdalnego sterowania złośliwym oprogramowaniem. Złośliwe oprogramowanie używa wewnętrznego tracera funkcji Linux (ftrace) do przechwytywania 18 różnych wywołań systemowych.
PUMAKIT wykorzystuje wieloetapową architekturę składającą się z:
- komponentu typu dropper o nazwie "cron"
- dwóch plików wykonywalnych rezydujących w pamięci
- modułu rootkit jądra "puma.ko"
- biblioteki współdzielonej Kitsune
Malware aktywuje się tylko po spełnieniu określonych warunków, w tym weryfikacji secure boot i dostępności symboli jądra.
Do unikalnych cech PUMAKIT należy wykorzystanie wywołania systemowego rmdir() do eskalacji uprawnień oraz specjalnych poleceń do ekstrakcji konfiguracji. Próbki złośliwego oprogramowania zostały wykryte we wrześniu 2024 roku poprzez platformę VirusTotal. Złośliwe oprogramowanie nie zostało przypisane do żadnej znanej grupy APT.
Źródło:
https://thehackernews.com/2024/12/new-linux-rootkit-pumakit-uses-advanced.html