Новый Linux-руткит Pumakit был замечен в реальных кибератаках

Новый Linux-руткит Pumakit был замечен в реальных кибератаках

Новый Linux-руткит Pumakit был замечен в реальных кибератаках

Новый руткит, заточенный под атаки на системы Linux, использует сложные методы повышения привилегий для сокрытия своего присутствия на устройствах. Вредонос получил имя Pumakit.

Руткит состоит из нескольких компонентов: дроппер, работающие в памяти исполняемые файлы, модуль самого руткита уровня ядра и компонент, выполняющийся на уровне пользователя.

Исследователи из Elastic Security обнаружили Pumakit в подозрительном бинарнике, загруженном на VirusTotal. Файл под названием «cron» неизвестные залили 4 сентября 2024 года.

Pumakit использует многоступенчатую схему заражения, которая начинается с дроппера «cron». Последний выполняет пейлоады «/memfd:tgt» и «/memfd:wpn» в памяти.

Составляющая «/memfd:wpn» проводит необходимые проверки, после чего разворачивает модуль руткита «puma.ko» на уровне ядра системы. В связке с ним идёт руткит уровня пользователя — «lib64/libs.so», который внедряется в процесс с помощью «LD_PRELOAD» и может перехватывать системные вызовы.

 

Для управления поведением ОС вредоносная программа задействует функцию «kallsyms_lookup_name()». Это говорит о том, что руткит заточен исключительно для атак на старые версии ядра Linux — до 5.7.

«В отличие от большинства современных руткитов, этот не использует kprobes, что говорит о работе со старыми версиями ядра», — объясняют специалисты.

Зловред может скрывать свои следы в логах и уходить от детектирования антивирусными средствами.

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru