PUMAKIT
A PUMAKIT egy kifinomult, többfázisú felépítésű rosszindulatú szoftver, amely egy dropperből, két memóriában rezidens végrehajtható fájlból, egy betölthető kernelmodulból (LKM) és egy felhasználói szintű rootkitből áll. A dropper, egy cron bináris, memóriában hoz létre két végrehajtható fájlt: /memfd:tgt és /memfd:wpn. Míg az előbbi egy ártalmatlan cron folyamatként működik, az utóbbi a rootkit betöltőjeként szolgál, amely ellenőrzi a rendszer állapotát, végrehajt egy ideiglenes /tmp/script.sh nevű szkriptet, és végül telepíti az LKM rootkitet. Ez a modul a PUMA nevet viseli, és a felhasználói térből való interakcióhoz egy beágyazott Kitsune nevű megosztott objektumot (SO) tartalmaz.
A PUMA rootkit fejlett rejtőzködési mechanizmusokat alkalmaz, többek között az ftrace funkcióval 18 különböző rendszerhívást és számos kernel funkciót horgonyoz le, lehetővé téve a fájlok, könyvtárak és saját jelenlétének elrejtését, valamint a rendszer viselkedésének manipulálását. Egyedi módszereket használ a rootkittel való interakcióhoz, például a rmdir() rendszerhívás kihasználásával jogosultságok emelésére. A rootkit csak akkor aktiválódik, ha bizonyos feltételek teljesülnek, például a secure boot ellenőrzése vagy a kernel szimbólumok elérhetősége.
A PUMAKIT főbb funkciói közé tartozik a jogosultságok emelése, a fájlok és folyamatok elrejtése, az anti-debugging intézkedések, valamint a command-and-control (C2) szerverekkel való kommunikáció fenntartása. Felfedezése során a kutatók a VirusTotal platformon találtak rá a cron binárisra, amelyet 2024. szeptember 4-én töltöttek fel, és kezdetben egyetlen víruskereső sem észlelte. További elemzések során egy másik kapcsolódó fájlt is azonosítottak, /memfd:wpn (deleted) néven, amelyet ugyanazon a napon töltöttek fel, szintén észlelés nélkül.
A PUMAKIT elemzése rávilágít a modern rosszindulatú szoftverek összetettségére és fejlett rejtőzködési technikáira, amelyek célja a felfedezés elkerülése és a tartós jelenlét fenntartása a fertőzött rendszerekben.