Detección de Rootkit Syslogk para Linux: Nuevo Malware Usado en Libertad

Un nuevo rootkit de kernel llamado Syslogk está ganando terreno, aterrorizando a los usuarios del sistema operativo Linux.

Se cree que el novedoso malware rootkit está basado en otro rootkit para Linux llamado Adore-Ng, un módulo cargable utilizado para infectar el kernel del sistema operativo Linux. Mientras que los operadores de Syslogk están actualmente enfocados en su desarrollo, mejorando la funcionalidad del nuevo rootkit, el número de dispositivos afectados sigue aumentando.

Detectar Rootkit Syslogk en Linux

The Regla Sigma a continuación, publicada por nuestro perspicaz desarrollador de Threat Bounty Kaan Yeniyol, permite una detección sin esfuerzo de los últimos ataques que involucran al rootkit Syslogk:

Actores de Amenazas Usan Puerta Trasera Syslogk para Atacar Máquinas Linux (vía file_event)

La regla está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con la técnica de Ejecución de Usuario (T1204; T1204.002).

Regístrese en la Plataforma SOC Prime para lograr un análisis de amenazas exhaustivo y una detección eficiente con más de 185,000 algoritmos de detección que se integran con todas las soluciones líderes de la industria SIEM, EDR y XDR. Para acceder a la exhaustiva biblioteca de reglas Sigma, haga clic en el botón Detect & Hunt a continuación. Los usuarios no registrados también pueden probar una innovadora solución de SOC Prime para la caza de amenazas: el Motor de Búsqueda de Amenazas Cibernéticas. El Motor de Búsqueda es una tienda única para un contexto exhaustivo sobre amenazas cibernéticas y reglas Sigma relevantes, disponible de forma gratuita. Pruébalo haciendo clic en el botón Explore Threat Context . ¿Tienes contenido de detección propio para compartir? Aplica para el Programa de Recompensas por Amenazas para contribuir a la defensa cibernética colaborativa mientras ganas recompensas recurrentes por tu contribución.

Detect & Hunt Explore Threat Context

Descripción del Rootkit Syslogk para Linux

Ha habido una cantidad de ataques recientes que afectan a sistemas Linux. Hoy en día, los usuarios del sistema operativo Linux enfrentan la aparición y desarrollo activo de un nuevo malware rootkit altamente evasivo llamado Syslogk. El malware se instala como módulos de kernel en el sistema operativo Linux. Los adversarios utilizan Syslogk para ocultar sus rastros dentro del sistema infectado, permanecer sigilosos y evadir inspecciones manuales. Además, el nuevo malware tiene la funcionalidad de iniciar o detener cargas útiles remotamente, utilizado ampliamente para recuperar un troyano puerta trasera compilado en C llamado Rekoobe, activado por «paquetes mágicos» orquestados por adversarios.

El primer análisis integral del rootkit Syslogk para Linux fue publicado por investigadores de seguridad de Avast. Los expertos señalaron que la activación de Rekoobe puede resultar en acciones maliciosas como el robo de datos, la manipulación de archivos y el secuestro de cuentas.

Aprovecha la colaboración prolífica con la comunidad global de ciberseguridad de más de 23,000 profesionales SOC uniéndote a la plataforma de SOC Prime. ¡Defiende contra amenazas emergentes y aumenta la eficiencia de tus capacidades de detección de amenazas!