Các nhà nghiên cứu bảo mật vừa phát hiện một rootkit mới trên Linux có tên là PUMAKIT, sở hữu khả năng leo thang đặc quyền, ẩn tệp và thư mục, đồng thời tự giấu mình khỏi các công cụ hệ thống nhằm tránh bị phát hiện.
Theo báo cáo của các nhà nghiên cứu từ Elastic Security Lab, PUMAKIT là một Loadable Kernel Module (LKM) rootkit tiên tiến, sử dụng cơ chế ẩn mình hiện đại để duy trì kết nối với các máy chủ C2 (Command-and-Control). Phát hiện này dựa trên các mẫu độc hại được tải lên nền tảng VirusTotal vào tháng 9 năm 2024.
PUMAKIT được xây dựng trên kiến trúc đa tầng, bao gồm:
- Dropper: Thành phần này có tên “cron” và là nơi khởi đầu cho việc triển khai rootkit.
- Hai tệp thực thi nằm trong bộ nhớ: “/memfd:tgt” (tệp cron mặc định của Ubuntu) và “/memfd:wpn” (trình tải rootkit).
- LKM rootkit: Tệp “puma.ko”, chứa mã độc và tương tác với kernel.
- Userland rootkit: Một tệp thư viện động (Shared Object – SO) tên là “Kitsune” (“lib64/libs.so”), dùng để thực hiện các hoạt động rootkit từ không gian người dùng.
Các giai đoạn trong chuỗi lây nhiễm đều được thiết kế để che giấu dấu vết của mã độc. PUMAKIT sử dụng các tệp nằm trong bộ nhớ (memory-resident files) để tránh lưu trữ trực tiếp trên ổ đĩa, đồng thời triển khai các kiểm tra nghiêm ngặt trước khi kích hoạt rootkit.
Một điểm đáng chú ý là rootkit này sử dụng lệnh rmdir() cho việc leo thang đặc quyền và các lệnh chuyên biệt để trích xuất cấu hình hoặc thông tin thời gian chạy.
Hiện chưa có bằng chứng nào liên kết PUMAKIT với một nhóm hacker hoặc tác nhân đe dọa cụ thể. Tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng đây là một mối đe dọa phức tạp và tinh vi.
Nguồn: The hacker news