متغير جديد من برمجية SysUpdate الضارة يستهدف أنظمة لينكس

العربية

تم اكتشاف متغير جديد من برمجية SysUpdate الضارة يستهدف أنظمة لينكس، مع تشفير متقدم للاتصالات بين الأوامر والتحكم. حدد باحثو الأمن في LevelBlue التهديد أثناء مشاركة في التحقيق الجنائي الرقمي وطوّروا أداة لفك تشفير حركتها المرورية. تتنكر البرمجية الضارة على شكل خدمة نظام شرعية للتهرب من الكشف.

ظهر متغير برمجية SysUpdate الضارة كتهديد متطور للبيئات لينكس، تم اكتشافه من قبل محللي LevelBlue أثناء مشاركة في التحقيق الجنائي الرقمي واستجابة الحوادث (DFIR). ظهر الملف التنفيذي لينكس المشبوه في نظام عميل، وتم تحديده كملف تنفيذي ELF64 مضغوط باستخدام حاسبة تشويش غير معروفة بدون رؤوس أقسام، مما يعقد التحليل التقليدي.  nnعند التنفيذ بدون وسائط محددة، تقوم البرمجية الضارة بتنفيذ أمر ID في GNU/Linux لجمع معلومات النظام ثم تبدأ اتصالات شبكية مشفرة عبر بروتوكولات متعددة. كشف التحليل الديناميكي لـLevelBlue وقياسات كشف نقاط النهاية عن مؤشرات قوية تربطها بنسخة جديدة من SysUpdate، مؤكدة بثقة عالية من خلال الهندسة العكسية. يستخدم قاعدة الكود C++ للبرمجية الضارة روتينات تشفير معقدة لتشفير حركة مرور الأوامر والتحكم (C2)، مما يعيق الكشف القائم على الشبكة.  nnللمواجهة، طوّر الباحثون أداة فك تشفير باستخدام إطار عمل محاكاة Unicorn Engine أثناء الحادث النشط. تستخرج هذه الأداة بايتات الكود الآلي، وهياكل البيانات العالمية، وقيم الكومة، وحالة سجلات المعالج من عينة البرمجية الضارة. تحاكي توليد المفاتيح من مفتاح تشفير نص عادي مثبت مسبقًا في الكومة وتفك تشفير كتل بيانات 8 بايت عبر عمليات XOR باستخدام خوارزمية غير معروفة، مع تكرار خرائط الذاكرة للبرمجية الضارة بما في ذلك المكدس والكومة وأجزاء البيانات والكود.  nnتدمج المنهجية Binary Ninja للتحليل الثابت، وGDB للتصحيح الديناميكي، وروابط Unicorn Engine المبنية على Rust لمحاكاة x86-64، متجاوزة الهندسة العكسية الكاملة للتشفير. يتيح هذا النهج فك تشفير حركة مرور C2 للمتغيرات الحالية والمستقبلية من خلال استخراج مفاتيح التشفير الجديدة.  nnيوصي LevelBlue المنظمات بنشر حلول كشف نقاط النهاية لمراقبة الملفات التنفيذية ELF المضغوطة التي تحاكي خدمات النظام، وإجراء تحليل حركة المرور الشبكية للأنماط المشفرة، والاستعداد لاستجابة الحوادث بقدرات محاكاة البرمجيات الضارة.

مقالات ذات صلة

Dramatic server room scene illustrating the SSHStalker Linux botnet infecting thousands of vulnerable servers via SSH exploits.
صورة مولدة بواسطة الذكاء الاصطناعي

Researchers discover SSHStalker botnet infecting Linux servers

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

Flare researchers have identified a new Linux botnet called SSHStalker that has compromised around 7,000 systems using outdated exploits and SSH scanning. The botnet employs IRC for command-and-control while maintaining dormant persistence without immediate malicious activities like DDoS or cryptomining. It targets legacy Linux kernels, highlighting risks in neglected infrastructure.

Researchers uncover new SysUpdate malware variant targeting Linux

Researchers at LevelBlue have identified a new variant of the SysUpdate malware aimed at Linux systems during a digital forensics and incident response engagement. The malware disguises itself as a legitimate system service and employs advanced encryption for command-and-control communications. By reverse-engineering it, the team created tools to decrypt its traffic more quickly.

Researchers identify ClipXDaemon malware targeting Linux cryptocurrency users

من إعداد الذكاء الاصطناعي

Security researchers at Cyble have discovered a new Linux malware called ClipXDaemon, which hijacks cryptocurrency wallet addresses by altering clipboard content on X11-based systems. The malware operates without command-and-control servers, monitoring and replacing addresses in real time to redirect funds to attackers. It uses a multi-stage infection process and employs stealth techniques to evade detection.

لينكس

IPFire 2.29 core update 200 introduces Linux kernel 6.18 LTS

ألعاب

Duet Night Abyss launcher spreads malware on Steam

لينكس

The hacker news publishes weekly threatsday bulletin

Malicious npm packages harvest crypto keys and secrets

Nineteen malicious packages on the npm registry are spreading a worm known as SANDWORM_MODE. These packages steal crypto keys, CI secrets, API tokens, and AI API keys. The theft occurs through MCP injection.

Attackers hijack Linux Snap Store apps to steal crypto phrases

من إعداد الذكاء الاصطناعي

Cybercriminals have compromised trusted Linux applications on the Snap Store by seizing expired domains, allowing them to push malware that steals cryptocurrency recovery phrases. Security experts from SlowMist and Ubuntu contributor Alan Pope highlighted the attack, which targets established publisher accounts to distribute malicious updates impersonating popular wallets. Canonical has removed the affected snaps, but calls for stronger safeguards persist.

14 فبراير 2026 06:39

SSHStalker botnet uses IRC to target Linux servers

10 فبراير 2026 19:39

New Linux botnet SSHStalker uses IRC for command-and-control

04 فبراير 2026 19:25

Russian hackers exploit Microsoft Office vulnerability days after patch

30 يناير 2026 21:23

Researchers uncover ShadowHS Linux exploitation framework

24 يناير 2026 21:25

Wiper malware targets Poland's energy grid but causes no blackout

22 يناير 2026 03:56

Malicious PyPI package impersonates SymPy to deploy XMRig miner

21 يناير 2026 05:18

AI-assisted VoidLink malware framework targets Linux cloud servers

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض