Détection du Rootkit Linux Syslogk : Nouveau Malware Utilisé dans la Nature

Un nouveau rootkit noyau nommé Syslogk gagne du terrain, terrorisant les utilisateurs de Linux OS.

On pense que le nouveau malware rootkit est basé sur un autre rootkit Linux appelé Adore-Ng – un module chargeable utilisé pour infecter le noyau de Linux OS. Bien que les opérateurs de Syslogk soient actuellement investis dans son développement, améliorant la fonctionnalité du nouveau rootkit, le nombre d’appareils affectés continue déjà de monter.

Détecter Syslogk Linux Rootkit

The Règle Sigma ci-dessous, publiée par notre développeur attentif Threat Bounty Kaan Yeniyol, permet une détection facile des dernières attaques impliquant le rootkit Syslogk :

Les acteurs de menace utilisent le backdoor Syslogk pour cibler les machines Linux (via file_event)

La règle est alignée avec le cadre MITRE ATT&CK® v.10. abordant la tactique d’Exécution avec la technique d’Exécution utilisateur (T1204; T1204.002).

Inscrivez-vous sur la plateforme SOC Prime pour réaliser une analyse approfondie des menaces et une détection efficace avec plus de 185 000 algorithmes de détection qui s’intègrent à chaque solution SIEM, EDR et XDR leader du secteur. Pour accéder à l’ibrary des règles Sigma, cliquez sur le bouton Détecter & Chasser ci-dessous. Les utilisateurs non enregistrés peuvent également essayer une solution innovante SOC Prime pour la chasse aux menaces – le Cyber Threat Search Engine. Le moteur de recherche est une solution complète pour obtenir un contexte exhaustif sur les cybermenaces et les règles Sigma pertinentes, disponible gratuitement. Essayez-le en cliquant sur le bouton Explorer le Contexte des Menaces . Vous avez du contenu de détection à partager ? Postulez pour le Programme Bounty Threat pour contribuer à la défense collaborative contre le cybercrime tout en gagnant des récompenses récurrentes pour votre contribution.

Détecter & Chasser Explorer le Contexte des Menaces

Description du Syslogk Linux Rootkit

Il y a eu un certain nombre d’attaques récemment affectant les systèmes Linux. Aujourd’hui, les utilisateurs de Linux OS font face à l’émergence et au développement actif d’un nouveau malware rootkit hautement évasif nommé Syslogk. Le malware s’installe sous forme de modules noyau dans le Linux OS. Les adversaires utilisent Syslogk pour dissimuler leurs traces dans le système infecté, rester furtifs et échapper à l’inspection manuelle. De plus, le nouveau malware a la fonction de démarrer ou d’arrêter à distance les charges utiles, largement utilisées pour récupérer un cheval de Troie compilé en C nommé Rekoobe, activé par des « paquets magiques » orchestrés par les adversaires.

La première analyse complète du rootkit Syslogk Linux a été publiée par des chercheurs en sécurité de Avast. Les experts ont souligné que l’activation de Rekoobe peut entraîner des actions malveillantes telles que le vol de données, la manipulation de fichiers et le détournement de compte.

Profitez de la collaboration prolifique avec la communauté mondiale de la cybersécurité de plus de 23 000 professionnels SOC en rejoignant la plateforme SOC Prime. Défendez-vous contre les menaces émergentes et augmentez l’efficacité de vos capacités de détection des menaces !