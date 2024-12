Elastic Security Labs découvre le logiciel malveillant Linux avancé PUMAKIT

décembre 2024 par Elastic Security Labs

Voici quelques détails notables sur ce logiciel malveillant :

• Architecture en plusieurs étapes : Le logiciel malveillant combine un dropper, deux exécutables résidant en mémoire, un rootkit LKM et un rootkit SO userland, qui ne s’activent que dans des conditions spécifiques.

• Mécanismes de furtivité avancés : Accroche 18 appels syscall et plusieurs fonctions du noyau à l’aide de la fonction ftrace() pour cacher des fichiers, des répertoires et le rootkit lui-même, tout en échappant aux tentatives de débogage.

• Élévation unique des privilèges : Utilise des méthodes de crochetage non conventionnelles telles que l’appel de système rmdir() pour élever les privilèges et interagir avec le rootkit.

• Fonctionnalités critiques : Comprend l’escalade des privilèges, la communication C2, l’anti-débogage et la manipulation du système pour maintenir la persistance et le contrôle.