A última edição da Phrack Magazine #72 apresentou um vazamento significativo de dados de uma suspeita de operação de hackers norte -coreana, incluindo táticas de exploração, detalhes comprometidos do sistema e um sofisticado Linux Rootkit.
O lixão, ligado a um ator de ameaças chinês que visa o governo sul -coreano e taiwanês e setores privados, mostra que se sobrepõe à norte -coreana Grupo Apt Kimsuky.
Ele revela o acesso a redes internas e certificados sensíveis, juntamente com as capturas de tela do desenvolvimento ativo de backdoor.
O arquivo completo, contendo malware vivo para várias plataformas, exige manuseio cuidadoso devido ao seu conteúdo perigoso. Essa exposição destaca ameaças persistentes avançadas empregando ferramentas furtivas para a espionagem e o movimento lateral.
Recursos de rootkit
O rootkit, analisado a partir de sua variante 2025, opera como um módulo de kernel carregado (LKM) construído na biblioteca Khook, permitindo a interceptação de chamadas do sistema de kernel para Evade de detecção.
Ele se esconde das listagens do LSMOD, oculta processos, atividades de rede e arquivos de persistência em diretórios /etc/init.d e /etc/rc**.d.
A ativação ocorre através de um pacote mágico em qualquer porta, acionando um backdoor criptografado para execução de shell, transferências de arquivos, configuração de proxy ou encadeamento de host.
Os comandos incorporam medidas anti-forenses, como redirecionar os históricos da concha para /dev /nulo e prevenir tempo limite, enquanto todo o tráfego permanece criptografado.
De acordo com o relatórioo módulo reside em/usr/lib64/rastreador-fs, contaminando o kernel como não assinado (chamado VMWFXS por padrão) e se comunica por meio de soquete A/Proc/ACPI/Pcicard.
Sua fragilidade o vincula a versões específicas do kernel, potencialmente falhando nas atualizações, mas combina serviços legítimos como portas da Web ou SSH, ignorando os firewalls.
Resposta de incidentes
A detecção depende de ferramentas como o Sandfly para alertas automatizados em arquivos ocultos, kernels contaminados e processos encobertos, revelando anomalias sem atualizações.
As verificações manuais incluem digitalização para manchas de módulos não assinadas via DMESG ou /var/log/kern.log, estatísticas diretas de arquivos em caminhos suspeitos, apesar da invisibilidade nas listagens e inspeção de serviços do SystemD como o Tracker-Fs.Service.
O binário backdoor em/usr/incluir/rastrear-fs/rastrear-efs mostra strings maliciosos, enquanto os processos ocultos evitam PS e SS, mas podem ser descentralizados com utilitários especializados.
Recursos como encadeamento multi-hop, proxies de Socks5 e fluxos de pacotes atrasados aumentam a evasão. Para limpeza, isolamento e reconstrução são aconselhados sobre a remediação, pois o acesso à raiz obscurece a extensão completa do compromisso.
As equipes de segurança devem priorizar a caça genérica sobre indicadores frágeis, evitando pesquisas baseadas em hash devido à mutabilidade.
Este rootkit ressalta sofisticação do kit de ferramentas no estado-estado, instando o monitoramento vigilante de ambientes Linux em meio a ameaças crescentes.
Indicadores de compromisso (IOCs)
| Categoria | Indicador | Notas |
|---|---|---|
| Módulo do kernel | vmwfxs (nome padrão) | Não assinado, causa mancha do kernel; mutável |
| Caminho do arquivo | /usr/lib64/rastreador-fs | Módulo malicioso oculto; A estatística direta revela |
| Binário Backdoor | /usr/incluir/rastrear-fs/rastrear-fs | Escondido; As cordas mostram anti-forense |
| Arquivos de persistência | /etc/init.d/tracker-fs, /etc/rc*.d/s90tracker-fs | Scripts de inicialização para inserção do módulo; escondido |
| Soquete | /PROC/ACPI/PCICARD | Endpoint de comunicação; LS -al detecta |
| Systemd Service | Tracker-fs.service | Revela via status SystemCTL; indicador de desvio |
| Ambiente Vars | Histfile =/dev/null, tmout = 0 | Configurações de concha anti-forense em processos ocultos |
AWS Security Services:10-Point Executive Checklist -Download for Free