Neue Linux-Malware PUMAKIT entdeckt

B2B Cyber Security ShortNews

Beitrag teilen

Die Anzahl an Malware für Linux-Systeme steigt stetig. Gerade haben die Experten von Elastic die Linux-Malware PUMAKIT entdeckt. Sie verfügt sogar über einen Tarnmodus, während sie mit ihrem C2-Server kommuniziert. Eine erste Analyse.

Elastic Security Labs hat PUMAKIT entdeckt, eine raffinierte Linux-Malware. PUMAKIT nutzt fortschrittliche Stealth-Mechanismen, um ihre Präsenz zu verbergen und um die Kommunikation mit Command-and-Control-Servern aufrechtzuerhalten – und ist damit nur sehr schwer zu entdecken.

Anzeige

PUMAKIT ist ein hochentwickeltes Schadprogramm, das ursprünglich bei der routinemäßigen Bedrohungssuche auf VirusTotal entdeckt wurde und nach den vom Entwickler eingebetteten Zeichenfolgen benannt ist, die in seiner Binärdatei gefunden wurden. Seine mehrstufige Architektur besteht aus einem Dropper ( cron), zwei speicherresidenten ausführbaren Dateien ( /memfd:tgtund /memfd:wpn), einem LKM-Rootkit-Modul und einem Shared Object (SO)-Userland-Rootkit.

Wichtigste Details der Linux-Malware

  • Multi-Stage-Architektur: Die Malware kombiniert einen Dropper, zwei memory-residente ausführbare Dateien, ein LKM-Rootkit und ein SO-Userland-Rootkit und wird nur unter bestimmten Bedingungen aktiviert.
  • Erweiterte Stealth-Mechanismen: Hängt sich mit ftrace() in 18 Syscalls und mehrere Kernel-Funktionen ein, um Dateien, Verzeichnisse und das Rootkit selbst zu verstecken und gleichzeitig Debugging-Versuche zu umgehen.
  • Einzigartige Privilegien-Eskalation: Nutzt unkonventionelle Hooking-Methoden wie den Syscall rmdir() zur Eskalation von Privilegien und zur Interaktion mit dem Rootkit.
  • Kritische Funktionalitäten: Umfasst Privilegienerweiterung, C2-Kommunikation, Anti-Debugging und Systemmanipulation, um Persistenz und Kontrolle zu erhalten.

Eine detailliertere Analyse der Linux-Malware und seiner kompletten Funktion haben die Experten der Elastic Security Labs in einem Blog-Beitrag vorgestellt.

Mehr bei Elastic.co

 


Über Elastic

Elastic ist eine führende Plattform für Suche-basierte Lösungen. Elastic weiß, dass es nicht nur um die Daten, sondern auch um die Antworten geht. Mit der Elasticsearch-Plattform kann jede und jeder die Antworten finden, die sie oder er benötigt – in Echtzeit und unter Nutzung des gesamten Datenbestands, so groß dieser auch sein mag. Elastic liefert komplette, cloudbasierte und KI-gestützte Lösungen für Enterprise Security, Observability und Suche auf der Basis der Elasticsearch-Plattform, einer Entwicklungsplattform, die bereits von Tausenden von Unternehmen genutzt wird, darunter mehr als 50 % der „Fortune 500“-Unternehmen.


 

Passende Artikel zum Thema

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen