Novo rootkit de kernel chamado Syslogk está ganhando força, aterrorizando os usuários do sistema operacional Linux.
Acredita-se que o novo malware rootkit seja baseado em outro rootkit Linux chamado Adore-Ng – um módulo carregável usado para infectar o kernel do sistema operacional Linux. Embora os operadores do Syslogk estejam atualmente investidos em seu desenvolvimento, aprimorando a funcionalidade do novo rootkit, o número de dispositivos afetados continua aumentando.
Detectar Rootkit Syslogk para Linux
The Regra Sigma abaixo, lançada por nosso desenvolvedor atento do Threat Bounty Kaan Yeniyol, permite a detecção fácil dos ataques mais recentes envolvendo o rootkit Syslogk:
Atores de ameaça usam o backdoor Syslogk para atacar máquinas Linux (via file_event)
A regra está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Execução com a técnica de Execução do Usuário (T1204; T1204.002).
Registre-se na Plataforma SOC Prime para alcançar uma análise completa de ameaças e uma detecção eficiente com mais de 185.000 algoritmos de detecção que se integram a todas as soluções líderes de mercado em SIEM, EDR e XDR. Para acessar a biblioteca exaustiva de regras Sigma, clique no botão Detectar & Caçar abaixo. Usuários não registrados também podem experimentar uma solução inovadora da SOC Prime para caça de ameaças – o Cyber Threat Search Engine. O Search Engine é uma loja única para contexto exaustivo sobre ameaças cibernéticas e regras Sigma relevantes, disponível gratuitamente. Experimente clicando no botão Explorar Contexto de Ameaças . Tem conteúdo de detecção próprio para compartilhar? Inscreva-se no Programa Threat Bounty para contribuir para a defesa cibernética colaborativa enquanto ganha recompensas recorrentes por sua contribuição.
Detectar & Caçar Explorar Contexto de Ameaças
Descrição do Rootkit Syslogk para Linux
Recentemente, houve uma série de ataques que afetaram sistemas Linux. Hoje, os usuários do sistema operacional Linux enfrentam o surgimento e desenvolvimento ativo de um novo malware rootkit altamente evasivo chamado Syslogk. O malware se instala como módulos de kernel no sistema operacional Linux. Os adversários usam o Syslogk para ocultar seus rastros dentro do sistema infectado, permanecer furtivos e evadir inspeções manuais. Além disso, o novo malware tem a funcionalidade de iniciar ou parar remotamente cargas úteis, amplamente usado para buscar um trojan backdoor compilado em C chamado Rekoobe, ativado por “pacotes mágicos” orquestrados por adversários.
A primeira análise abrangente do rootkit Syslogk para Linux foi lançada por pesquisadores de segurança da Avast. Os especialistas apontaram que a ativação do Rekoobe pode resultar em ações maliciosas como roubo de dados, manipulação de arquivos e sequestro de contas.
Aproveite a colaboração prolífica com a comunidade global de cibersegurança de mais de 23.000 profissionais de SOC juntando-se à plataforma da SOC Prime. Defenda-se contra ameaças emergentes e aumente a eficiência de suas capacidades de detecção de ameaças!
