Rootkit

Uma nova técnica de rootkit chamada FlipSwitch foi descoberta, permitindo que atacantes contornem as melhorias de segurança do kernel Linux 6.9. Essa técnica representa um retrocesso na proteção do sistema, pois os invasores agora visam a lógica do novo despachante de chamadas do kernel, em vez de sobrescrever a tabela de chamadas de sistema, uma abordagem que se tornou obsoleta. O FlipSwitch funciona ao localizar e reescrever o código de máquina do próprio kernel dentro do despachante de chamadas do sistema, redirecionando a execução para manipuladores maliciosos. Essa técnica é reversível, permitindo que os atacantes removam vestígios de sua presença. A detecção de rootkits de kernel é desafiadora, mas pesquisadores lançaram uma assinatura YARA para identificar o FlipSwitch, tanto em disco quanto na memória. Essa evolução nas técnicas de ataque destaca a constante luta entre o endurecimento do Linux e a adaptação dos invasores, mostrando que o progresso defensivo não elimina a ameaça, mas muda suas regras.

A SonicWall anunciou uma atualização de segurança urgente para seus dispositivos Secure Mobile Access (SMA) da série 100, visando eliminar um rootkit persistente conhecido como ‘OVERSTEP’. A atualização, identificada como versão 10.2.2.2-92sv, introduz verificações de integridade de arquivos aprimoradas, capazes de detectar e remover componentes maliciosos implantados por essa ameaça. Organizações que utilizam os modelos SMA 210, 410 e 500v são fortemente aconselhadas a aplicar o patch imediatamente para mitigar riscos de exploração. O rootkit OVERSTEP foi identificado pela Google Threat Intelligence Group (GTIG) como uma ameaça sofisticada, capaz de estabelecer acesso encoberto e persistente a redes corporativas, permitindo que atacantes se movam lateralmente, exfiltrando dados e implantando cargas adicionais. A SonicWall enfatiza que a única forma de eliminar a ameaça é atualizar para a versão corrigida, pois não há soluções alternativas viáveis. O não cumprimento dessa recomendação pode expor as redes a acessos não autorizados e vigilância persistente. O patch não afeta as appliances da série SMA1000 e as funcionalidades SSL-VPN em produtos de firewall da SonicWall.

Um recente vazamento de dados, publicado na revista Phrack, revelou um conjunto de malware sofisticado para Linux, associado a um grupo de ameaças supostamente alinhado ao governo norte-coreano. O vazamento, que parece ter origem em uma violação da infraestrutura dos atacantes, expõe táticas operacionais avançadas utilizadas contra organizações governamentais e do setor privado da Coreia do Sul e Taiwan. O malware em questão é um rootkit baseado em um módulo de kernel carregável (LKM), projetado para evitar a detecção tradicional e garantir acesso persistente e oculto a sistemas Linux. Entre suas características estão a ocultação de módulos, evasão de processos e redes, e técnicas anti-forense que dificultam a reconstrução de atividades. Os pesquisadores de segurança alertam que as defesas tradicionais são insuficientes para detectar tais ameaças, e recomendam que, se um sistema for comprometido a nível de kernel, ele deve ser isolado e reconstruído imediatamente. Este incidente destaca a crescente sofisticação das operações ligadas ao estado norte-coreano, que utilizam técnicas de stealth em nível de kernel para infiltrar redes sem serem detectados.