15:00 / 26 апреля 2025
Хакеры используют утилиту с открытым исходным кодом Linux PRoot в атаках BYOF (Bring Your Own Filesystem) для создания единого репозитория вредоносных инструментов, которые работают на многих дистрибутивах Linux.
Во время BYOF-атаки злоумышленники создают на своих устройствах вредоносную файловую систему. Далее эта файловая система загружается на взломанные компьютеры, предоставляя предварительно настроенный набор инструментов, который можно использовать для дальнейшей компрометации системы Linux.
«Такая подготовка на ранней стадии позволяет загрузить, настроить или установить инструменты на собственной системе злоумышленника, скрыв их от средств обнаружения», — говорится в отчете Sysdig. Исследователи предупреждают, что новая техника легко масштабирует вредоносные операции против конечных точек Linux всех видов.
PRoot — это утилита с открытым исходным кодом, которая объединяет команды "chroot", "mount-bind" и "binfmt_misc", позволяя пользователям устанавливать изолированную корневую файловую систему в Linux. По умолчанию процессы PRoot ограничены в пределах гостевой файловой системы, однако эмуляция QEMU может быть использована для выполнения хостовых и гостевых программ.
Атаки, которые зафиксировали специалисты Sysdig, используют PRoot для развертывания вредоносной файловой системы на уже взломанных системах, включающих инструменты сетевого сканирования («masscan» и «nmap»), криптомайнер XMRig и их конфигурационные файлы.
Поскольку PRoot статически скомпилирован, хакеры загружают предварительно скомпилированный код с GitLab и выполняют его на загруженной файловой системе атакующего. В большинстве случаев злоумышленники распаковывали файловую систему в "/tmp/Proot/", далее они активировали криптомайнер XMRig. «Любые зависимости и конфигурации также включены в файловую систему, поэтому злоумышленнику не нужно запускать дополнительные команды установки», — объясняет Sysdig.
Предварительно настроенные файловые системы PRoot позволяют злоумышленникам использовать инструментарий для разных конфигураций ОС без необходимости переносить вредоносное ПО на целевую архитектуру или включать зависимости и инструменты сборки.
«При использовании PRoot архитектура или дистрибутив объекта атаки не имеют особого значения, поскольку инструмент сглаживает трудности, связанные с совместимостью исполняемых файлов, настройкой окружения и выполнением вредоносных программ или майнеров. Это позволяет злоумышленникам написать вредоносный код, который будет работать практически везде», — поясняют эксперты Sysdig.
Поделиться новостью
15:00 / 26 апреля 2025
13:00 / 26 апреля 2025
11:00 / 26 апреля 2025
20:00 / 25 апреля 2025
«Код Безопасности» представил «Континент 4» (версия 4.2)
17:20 / 25 апреля 2025
Число DDoS-атак выросло на 110%
16:00 / 25 апреля 2025
ЦБТ исключил возможность взять кредит по «чужой» биометрии
15:00 / 25 апреля 2025
В РФ с начала 2025 года утекло 21,5 млн телефонных номеров
14:40 / 25 апреля 2025