Новый Linux-руткит Pumakit был замечен в реальных кибератаках

Новый Linux-руткит Pumakit был замечен в реальных кибератаках

Новый Linux-руткит Pumakit был замечен в реальных кибератаках

Новый руткит, заточенный под атаки на системы Linux, использует сложные методы повышения привилегий для сокрытия своего присутствия на устройствах. Вредонос получил имя Pumakit.

Руткит состоит из нескольких компонентов: дроппер, работающие в памяти исполняемые файлы, модуль самого руткита уровня ядра и компонент, выполняющийся на уровне пользователя.

Исследователи из Elastic Security обнаружили Pumakit в подозрительном бинарнике, загруженном на VirusTotal. Файл под названием «cron» неизвестные залили 4 сентября 2024 года.

Pumakit использует многоступенчатую схему заражения, которая начинается с дроппера «cron». Последний выполняет пейлоады «/memfd:tgt» и «/memfd:wpn» в памяти.

Составляющая «/memfd:wpn» проводит необходимые проверки, после чего разворачивает модуль руткита «puma.ko» на уровне ядра системы. В связке с ним идёт руткит уровня пользователя — «lib64/libs.so», который внедряется в процесс с помощью «LD_PRELOAD» и может перехватывать системные вызовы.

 

Для управления поведением ОС вредоносная программа задействует функцию «kallsyms_lookup_name()». Это говорит о том, что руткит заточен исключительно для атак на старые версии ядра Linux — до 5.7.

«В отличие от большинства современных руткитов, этот не использует kprobes, что говорит о работе со старыми версиями ядра», — объясняют специалисты.

Зловред может скрывать свои следы в логах и уходить от детектирования антивирусными средствами.

Сообщение в СИЗО — 35 рублей: в России запустили новый мессенджер

В России появился мессенджер для связи с людьми, которые находятся в СИЗО и исправительных учреждениях. Сервис называется «Точка контакта» и позволяет отправлять сообщения, фотографии, видео и голосовые записи. Правда, привычного написал и забыл здесь не будет, почти каждое действие оплачивается отдельно.

Электронное письмо объёмом до 2500 знаков стоит 35 рублей. Короткое текстовое сообщение до 200 знаков — 3,09 рубля.

 

За видеосообщение продолжительностью до 90 секунд просят 4,29 рубля, до 180 секунд — 7,99 рубля. Отправка одного голосового сообщения, по данным телеграм-канала «Банки, деньги, два офшора», обойдётся примерно в 7 рублей.

 

Сервис также предлагает платные подписки на контент. Один раздел по выбранной рубрике с постоянным обновлением стоит 99 рублей.

 

На сайте проекта говорится, что платформа должна помочь родственникам и близким поддерживать связь с человеком в СИЗО или колонии. В интерфейсе показаны обычные чаты с текстом, аудио, фотографиями и уведомлениями об оплате входящих сообщений.

Пока сервис обещают запустить во всех магазинах приложений. Детали о том, кто именно выступает оператором платформы, как проходит проверка сообщений и во всех ли учреждениях она будет доступна, не раскрываются.

Получился мессенджер с весьма буквальным тарифом на общение: хочешь написать близкому человеку — сначала посчитай символы.

RSS: Новости на портале Anti-Malware.ru