Mensch lädt sich eine "harmlose App" im PlayStore herunter – vielleicht einen SystemCleaner, Taschenrechner oder eine Wettervorhersage. Doch im Hintergrund öffnet sich eine Backdoor, durch die Cyberkriminelle nicht nur die Daten stehlen, sondern die komplette Kontrolle über das Smartphone übernehmen. Genau das passierte jetzt mit dem und durch das „NoVoice"-Rootkit,
Mehr dazu: https://digiprax.maniabel.work/archiv/1168
#novoice #rootkit #infosec #android #Google #PlayStore #up2date
Illuminating VoidLink: Technical analysis of the VoidLink rootkit framework
Elastic Security Labs analyzes VoidLink, a sophisticated Linux malware framework combining Loadable Kernel Modules (LKMs) and eBPF for persistence. The rootkit, developed by a Chinese-speaking threat actor, evolved through four generations, targeting kernels from CentOS 7 to Ubuntu 22.04. VoidLink employs advanced techniques like delayed initialization, runtime key rotation, and a hybrid LKM-eBPF architecture for comprehensive stealth. Notable features include an ICMP-based covert channel, process protection, and memfd-aware boot loading. Evidence suggests AI-assisted development, lowering the barrier for kernel-level rootkit creation. Detection strategies and defensive recommendations are provided to counter this emerging threat.
Pulse ID: 69c51fb010f23603d7d217ea
Pulse Link: https://otx.alienvault.com/pulse/69c51fb010f23603d7d217ea
Pulse Author: AlienVault
Created: 2026-03-26 11:59:44
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#Chinese #CyberSecurity #ElasticSecurityLabs #InfoSec #Linux #Malware #OTX #OpenThreatExchange #RAT #Rootkit #bot #AlienVault
EDR killers explained: Beyond the drivers
This analysis explores the ecosystem of EDR (Endpoint Detection and Response) killers, tools used by ransomware attackers to disrupt security solutions before deploying encryptors. The research, based on almost 90 EDR killers tracked in the wild, reveals that these tools are fundamental in modern ransomware operations. Affiliates, not operators, typically choose EDR killers, leading to greater tooling diversity in larger affiliate pools. The same vulnerable driver can appear in unrelated tools, and tools can switch between drivers, making driver-based attribution unreliable. The landscape includes forked proofs of concept, professional implementations, and commercial offerings. While Bring Your Own Vulnerable Driver (BYOVD) technique dominates, custom scripts, anti-rootkits, and driverless approaches are also utilized. The analysis emphasizes the importance of looking beyond drivers to understand the full scope of EDR killer ecosystem and its implications for cybersecurity.
Pulse ID: 69bc161ca8746db879422810
Pulse Link: https://otx.alienvault.com/pulse/69bc161ca8746db879422810
Pulse Author: AlienVault
Created: 2026-03-19 15:28:28
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#CyberSecurity #EDR #Endpoint #EndpointDetectionandResponse #InfoSec #OTX #OpenThreatExchange #RAT #RansomWare #Rootkit #bot #AlienVault
Linux #rootkit taxonomy and hooking techniques (part. 1):
https://www.elastic.co/security-labs/linux-rootkits-1-hooked-on-linux
In this first part of a two-part series, we explore Linux rootkit taxonomy, trace their evolution from userland shared object hijacking and kernel-space loadable kernel module hooking to modern eBPF- and io_uring-powered techniques.
Как работают руткиты и можно ли им противодействовать на примере Singularity
Всем привет. Экспрементируя со способами закрепления на Linux системах в рамках разработки своей системы мониторига безопасности, я наткнулся на руткит с открытым исходным кодом Singularity . Он показался мне очень интересным, так как использует большое количество методов для сокрытия себя от обнаружения, а открытый исходный исходный код позволяет досконально изучить эти методы. В данной статье я подробно расскажу вам, с помощью каких подходов руткиты закрепляются на Linux системах на примере Singularity.
https://habr.com/ru/articles/996568/
#rootkit #rootkits #руткиты #руткит #ядро_linux #мониторинг #ebpf #обнаружение_атак #информационная_безопасность #защита_сервера
Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF
#infosec #singularity #rootkit #floss
https://www.opennet.ru/opennews/art.shtml?num=64663
> Матеус Алвес ( Matheus Alves ), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity , развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT.
Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов
Матеус Алвес ( Matheus Alves ), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity , развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов
Linux 6.x kernel #rootkit
maniabel
OTX Bot
Silma
Habr
aspragg
Who Let The Dogs Out 🐾
Ciarán (mc)
ransomNews
⚾️🤌☕🤌KinmenRisingProject-🇹🇼🇺🇦