Linux-троян Skidmap обрел новый руткит ядра для сокрытия майнинга

Татьяна Никитина 04 Октября 2024 - 17:33

Домашние пользователи

...

В ходе анализа семпла трояна Skidmap, угодившего в Redis-ловушку «Доктор Веб», была обнаружена новая модификация руткита режима ядра, используемого для сокрытия процесса добычи криптовалюты. Схема атаки усложнилась, еще больше затруднив реагирование.

Приманка, работающая под управлением Linux, была создана в связи с участившимися случаями взлома серверов Redis с целью установки майнеров. Такие мишени привлекательны для злоумышленников тем, что обычно плохо защищены, а уязвимости в СУБД Redis объявляются с завидной регулярностью.

Зайдя на сервер через намеренно распахнутую дверь, операторы Skidmap добавили в планировщик cron-задачу на запуск вредоносного скрипта-загрузчика с интервалом в 10 минут. В результате отработки сценария в системе объявляется дроппер (Linux.MulDrop.142/143), который уточняет версию ядра ОС, отключает защиту SELinux и распаковывает полезную нагрузку — бэкдоры, руткит и майнер.

Встроенные исполняемые файлы ориентированы на ходовые дистрибутивы Linux разных версий, поэтому размер дроппера сильно раздут. В осевшем на ловушке образце аналитики насчитали около 60 экзешников.

Так, написанный на C руткит (Linux.Rootkit.400) был заточен под RHEL, Debian и EulerOS. Вредонос осуществляет перехват ряда функций ядра с целью подмены ответов на диагностические команды админа (загрузка CPU, сетевая активность на портах, перечисление файлов в папках и т. п.).

Зловред также отслеживает загрузку модулей ядра и блокирует запуск компонентов с функциями антируткита. Все эти действия призваны скрыть активность майнера (в данном случае XMRig), которого в итоге могут выдать только высокое энергопотребление и перегрев — влияние на быстродействие машины-жертвы криптоджекеры научились регулировать.

Загруженные бэкдоры отслеживают входы по SSH с целью кражи паролей и создают мастер-ключ для всех аккаунтов в системе. Расширить возможности по удаленному управлению помогает троян Linux.BackDoor.RCTL.2, создающий зашифрованный канал для C2-связи.

Следующая главная новость »

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!

Екатерина Быстрова 05 Марта 2026 - 17:41

Корпорации

Выручка МТС Линк в 2025 году выросла на 39% — до 2,53 млрд рублей

МТС Линк отчиталась о результатах за 2025 год: по данным компании, выручка группы выросла на 39% год к году и составила 2,532 млрд рублей. В расчёты включены показатели ООО «Вебинар» и дочерних компаний — ООО «Вебинар Технологии» и ООО «Винтео». Самый заметный рост у корпоративного мессенджера «Чаты»: выручка от его продаж, как утверждается, увеличилась втрое.

Ещё один драйвер — направление оборудования для коммуникаций: продажи «железа», включая российские терминалы собственного производства, выросли на 59%.

По статистике использования сервисов тоже видно, что аудитория прибавила. Среднемесячное число активных пользователей (MAU) сервиса «Встречи» за год выросло на 75,7%. В «Чатах» MAU, как и число отправляемых сообщений, увеличились в 2,9 раза (в сравнении декабря 2024-го с декабрём 2025-го).

Гендиректор МТС Линк Владимир Урбанский связывает рост с тем, что компания собирает коммуникации «в одном окне»: переписки, звонки, встречи, вебинары, обучение и доски для совместной работы.

Отдельно он отметил развитие ИИ-инструментов: в 2025 году ИИ-ассистент, по его словам, научился подтягивать контекст из встреч, чатов, баз знаний и открытых источников; не только делать резюме, но и помогать искать нужные сообщения и отвечать на рабочие вопросы.

Также компания заявляет, что ИИ-функции теперь доступны не только в облаке, но и в серверной версии.

К слову, на днях мы поговорили с Олегом Пашукевичем, директором бизнес-юнита ВКС «МТС Линк». Обсудили возможности таких решений, их работу с данными, интеграцию с корпоративными системами и внедрение искусственного интеллекта (ИИ).

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!