LinkPro という新しいルートキットが GNU/Linux システムを標的にしており、eBPF 技術を使用して悪意ある活動を隠蔽し、検知を回避しています。侵害された AWS インフラストラクチャで発見され、脆弱な Jenkins サーバーと悪意ある Docker イメージ経由で拡散します。このマルウェアは、正当なシステムコンポーネントを装いつつ、攻撃者にリモートアクセスを提供します。
LinkPro ルートキットは、GNU/Linux システムに対する洗練された脅威として現れ、拡張 Berkeley パケット フィルタ (eBPF) モジュールを利用してプロセス、ファイル、ネットワーク活動を隠蔽します。SynAcktiv の研究者らは、侵害された AWS ホスト環境のフォレンジック調査中にこれを発見し、特定の TCP マジック パケットによるリモート活性化が可能なバックドアとして機能していました。
感染は通常、CVE-2024-23897 に脆弱な露出した Jenkins サーバーから始まります。攻撃者は次に、kvlnt/vv という悪意ある Docker イメージを Amazon EKS Kubernetes クラスター全体に展開します。このイメージには VPN プロキシ、vGet ダウンローダー マルウェア、および LinkPro ルートキット自体が含まれています。コンテナは root 特権で実行され、ファイルシステムへの完全なアクセスを許可し、他のポッドから認証情報を収穫するためのエスケープを可能にします。
Golang で開発された LinkPro は、2 つのモードで動作します:TCP SYN パケットのウィンドウ サイズ 54321 を検知した後にコマンドを待機するパッシブ リバース モード、および直接のコマンド アンド コントロール リンクのためのアクティブ フォワード モードです。そのステルス性は 2 つの eBPF モジュールに依存しています—Hide モジュールは getdents や sys_bpf などのシステム コールを傍受してファイル、プロセス、eBPF プログラムを隠蔽し、Knock モジュールは XDP と TC を使用してネットワークを操作し、トラフィックを内部ポート 2233 にリダイレクトし、ヘッダーを書き換えてファイアウォールを回避します。
永続性のため、LinkPro は systemd-resolved サービスを装い、/etc/systemd/system/systemd-resolved.service に偽のユニット ファイルを生成し、バイナリを /usr/lib/.system/.tmp~data.resolved に配置してタイムスタンプを変更します。CONFIG_BPF_KPROBE_OVERRIDE のカーネル サポートがない場合、/etc/ld.so.preload を介してダイナミック リンカーをハイジャックします。
アクティブになると、インタラクティブ シェル、ファイル管理、SOCKS5 プロキシ、HTTP、WebSocket、TCP、UDP、DNS などのプロトコル経由で Base64 エンコードされたファイルのエクスフィルトレーションを提供し、全て XOR で暗号化されます。組織は検知のために疑わしい systemd ファイルと eBPF 活動を監視することを推奨されます。