Novo rootkit LinkPro compromete infraestrutura da AWS

BR Defense Center (By River de Morais e Silva)
malware

Uma investigação sobre a violação de uma infraestrutura hospedada na Amazon Web Services (AWS) revelou um novo rootkit para GNU/Linux, denominado LinkPro, conforme relatado pela empresa de cibersegurança Synacktiv. O ataque começou com a exploração de um servidor Jenkins exposto, vulnerável à CVE-2024–23897, que permitiu a implantação de uma imagem Docker maliciosa chamada ‘kvlnt/vv’ em vários clusters Kubernetes. Essa imagem continha um sistema baseado em Kali Linux e arquivos que permitiam a instalação de um servidor VPN e um downloader que se comunicava com um servidor de comando e controle (C2).

O LinkPro se destaca por suas capacidades de ocultação, utilizando módulos eBPF para esconder suas atividades e processos. Ele pode operar em modos passivo e ativo, dependendo da configuração, e aguarda um ‘pacote mágico’ para ser ativado. Uma vez ativado, o rootkit permite que os atacantes executem comandos, manipulem arquivos e estabeleçam túneis de proxy SOCKS5. A técnica de ocultação no nível do kernel é particularmente preocupante, pois requer configurações específicas do kernel e pode complicar a detecção por parte de sistemas de segurança. O ataque é considerado de alto risco, especialmente para organizações que utilizam tecnologias da AWS e Kubernetes, que são amplamente adotadas no Brasil.

Fonte: https://thehackernews.com/2025/10/linkpro-linux-rootkit-uses-ebpf-to-hide.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
16/10/2025 • Risco: ALTO
MALWARE

Novo rootkit LinkPro compromete infraestrutura da AWS

RESUMO EXECUTIVO
O rootkit LinkPro representa uma ameaça significativa para organizações que utilizam AWS e Kubernetes, exigindo ações imediatas para mitigar riscos e proteger dados sensíveis.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a interrupções operacionais e custos de remediação.
Operacional
Possibilidade de execução remota de comandos e ocultação de atividades maliciosas.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'E-commerce']

📊 INDICADORES CHAVE

O rootkit LinkPro utiliza módulos eBPF para ocultação. Indicador
O pacote mágico é um TCP com valor de janela de 54321. Contexto BR
O LinkPro pode operar em modos passivo e ativo. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de servidores Jenkins expostos e vulneráveis.
2 Aplicar patches para vulnerabilidades conhecidas e revisar configurações de segurança.
3 Monitorar atividades de rede e logs de firewall para detectar tráfego suspeito.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança das infraestruturas em nuvem, especialmente em relação a vulnerabilidades conhecidas que podem ser exploradas por atacantes.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e à proteção de dados.
Status
investigacao
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).