Rootkit

Cet article publié par Sandfly Security alerte sur une menace croissante pour les systèmes Linux : les rootkits de type LD_PRELOAD tels que Medusa. Ces rootkits interceptent les appels de bibliothèques dynamiques pour masquer des activités malveillantes, telles que des fichiers, processus et connexions réseau, aux commandes système standard. Medusa fonctionne en utilisant des mécanismes LD_PRELOAD pour prioriser les bibliothèques malveillantes par rapport aux légitimes, affectant ainsi des commandes comme ls, ps et netstat. Pour détecter ces rootkits, il est recommandé d’utiliser des binaires statiques tels que BusyBox, qui ne dépendent pas des bibliothèques dynamiques et incluent tout le code nécessaire en interne, les rendant ainsi immunisés contre l’interception des bibliothèques. ...

L’article publié par Aqua Nautilus dévoile Koske, un malware Linux sophistiqué qui utilise des techniques innovantes pour contourner les défenses traditionnelles. Ce malware montre des signes de développement assisté par IA, probablement avec l’aide d’un grand modèle de langage. Koske exploite une instance JupyterLab mal configurée pour obtenir un accès initial, en téléchargeant des images JPEG malveillantes via des URL raccourcies. Ces images sont des fichiers polyglottes, contenant des charges utiles malveillantes qui sont extraites et exécutées en mémoire, échappant ainsi aux outils antivirus. ...

L’article met en lumière une avancée en cybersécurité présentée par Hells Hollow, qui dévoile une nouvelle méthode de rootkit sur Windows 11. Cette technique repose sur l’utilisation de hooks SSDT en Rust, permettant de manipuler le mécanisme des Alt Syscalls du noyau. Cette approche permet de contourner ETW (Event Tracing for Windows) et de réaliser des patches sur les valeurs de retour, tout en restant résistante à PatchGuard, le système de protection du noyau de Windows. Cela confère à cette méthode une capacité de furtivité accrue, rendant les détections traditionnelles moins efficaces. ...

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

L’article de Mandiant et Google Threat Intelligence Group met en lumière une campagne d’exploitation en cours par un acteur malveillant, désigné UNC6148, visant les appareils SonicWall Secure Mobile Access (SMA) 100 en fin de vie. UNC6148 utilise des identifiants et des seeds OTP volés lors d’intrusions précédentes pour accéder aux appareils, même après l’application de mises à jour de sécurité. Le malware OVERSTEP, un rootkit en mode utilisateur, est déployé pour modifier le processus de démarrage des appareils, voler des informations sensibles et se dissimuler. ...

L’article publié sur Darknet.org.uk présente Caracal, un rootkit développé en Rust qui utilise la technologie eBPF pour masquer des programmes BPF, des cartes et des processus. Ce rootkit est conçu pour des opérations de post-exploitation furtives, souvent utilisées par les équipes rouges pour simuler des attaques réelles. Caracal se distingue par sa capacité à se cacher efficacement dans le système, rendant la détection difficile pour les outils de sécurité traditionnels. En exploitant les fonctionnalités avancées d’eBPF, il peut interagir directement avec le noyau du système d’exploitation, ce qui lui permet de masquer ses activités malveillantes. ...