Rilevamento del Rootkit Linux Syslogk: Nuovo Malware Usato in Natura

Un nuovo rootkit del kernel chiamato Syslogk sta guadagnando trazione, terrorizzando gli utenti del sistema operativo Linux.

Si ritiene che il nuovo malware rootkit sia basato su un altro rootkit Linux denominato Adore-Ng, un modulo caricabile utilizzato per infettare il kernel del sistema operativo Linux. Mentre gli operatori di Syslogk sono attualmente impegnati nel suo sviluppo, migliorando la funzionalità del nuovo rootkit, il numero di dispositivi colpiti continua a crescere.

Rileva il rootkit Syslogk Linux

The Regola Sigma sotto, rilasciata dal nostro esperto sviluppatore di Threat Bounty Kaan Yeniyol, consente un facile rilevamento degli ultimi attacchi che coinvolgono il rootkit Syslogk:

Gli attori delle minacce usano il backdoor Syslogk per prendere di mira le macchine Linux (via file_event)

La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con la tecnica di Esecuzione Utente (T1204; T1204.002).

Registrati alla piattaforma SOC Prime per ottenere un’analisi completa delle minacce e un rilevamento efficiente con oltre 185.000 algoritmi di rilevamento che si integrano con tutte le soluzioni leader del settore SIEM, EDR e XDR. Per accedere allaibreria completa delle regole Sigma, clicca sul pulsante Rileva & Caccia qui sotto. Anche gli utenti non registrati possono provare una soluzione innovativa di SOC Prime per la caccia alle minacce: il Cyber Threat Search Engine. Il motore di ricerca è un punto unico per contesto esaustivo sulle minacce informatiche e regole Sigma pertinenti, disponibile gratuitamente. Provalo premendo il pulsante Esplora il Contesto delle Minacce . Hai contenuti di rilevamento da condividere? Candidati al Programma Threat Bounty per contribuire alla difesa cibernetica collaborativa guadagnando ricompense ricorrenti per il tuo contributo.

Rileva & Caccia Esplora il Contesto delle Minacce

Descrizione del rootkit Syslogk per Linux

Di recente ci sono stati numerosi attacchi che hanno colpito i sistemi Linux. Oggi, gli utenti del sistema operativo Linux stanno affrontando l’emergere e lo sviluppo attivo di un nuovo malware rootkit altamente evasivo denominato Syslogk. Il malware si installa come moduli del kernel nel sistema operativo Linux. Gli avversari utilizzano Syslogk per nascondere le loro tracce all’interno del sistema infetto, rimanere nascosti ed evitare l’ispezione manuale. Inoltre, il nuovo malware ha la funzionalità di avviare o fermare da remoto payload, ampiamente usata per prelevare un trojan backdoor compilato in C denominato Rekoobe, attivato da “pacchetti magici” orchestrati dagli avversari.

La prima analisi completa del rootkit Syslogk per Linux è stata pubblicata dai ricercatori di sicurezza di Avast. Gli esperti hanno sottolineato che l’attivazione di Rekoobe può portare a azioni malevole come furto di dati, manipolazione di file e violazione di account.

Approfitta della prolifica collaborazione con la comunità globale di cybersecurity di oltre 23.000 professionisti SOC unendoti alla piattaforma di SOC Prime. Difendi dai rischi emergenti e aumenta l’efficienza delle tue capacità di rilevamento delle minacce!