Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

OrBit: руткит Linux с SSH-бэкдором и PAM-хуками

4
3 мин
OrBit: Linux rootkit в user space, выросший из open-source Medusa, продолжает эволюционировать и использоваться как минимум несколькими различными threat actor. Исследование показывает, что одна и та же codebase применяется в разных операционных сценариях — от скрытного сбора учетных данных до более гибких механизмов внедрения и persistence. OrBit — это user-space Linux rootkit, являющийся производным от open-source rootkit Medusa, первоначально проанализированного в 2022 году. В основе его возможностей лежат: Изначально OrBit был обнаружен как единичный образец с уникальными operational fingerprints, однако дальнейшее расследование показало, что речь идет о переработанном варианте Medusa, публично выпущенного в декабре 2022 года. На протяжении четырех лет развития OrBit активно deployed, и исследователи выделили две основные operational lineages: Lineage A и Lineage B. Lineage A — это более complex ветка, сохраняющая широкий набор функций, близкий к исходному релизу. Именно здесь набл
Оглавление

OrBit: Linux rootkit в user space, выросший из open-source Medusa, продолжает эволюционировать и использоваться как минимум несколькими различными threat actor. Исследование показывает, что одна и та же codebase применяется в разных операционных сценариях — от скрытного сбора учетных данных до более гибких механизмов внедрения и persistence.

Что такое OrBit

OrBit — это user-space Linux rootkit, являющийся производным от open-source rootkit Medusa, первоначально проанализированного в 2022 году. В основе его возможностей лежат:

  • deep hooking в libc;
  • SSH backdoor access;
  • сбор учетных записей на основе PAM.

Изначально OrBit был обнаружен как единичный образец с уникальными operational fingerprints, однако дальнейшее расследование показало, что речь идет о переработанном варианте Medusa, публично выпущенного в декабре 2022 года.

Две основные lineage: A и B

На протяжении четырех лет развития OrBit активно deployed, и исследователи выделили две основные operational lineages: Lineage A и Lineage B.

Lineage A — это более complex ветка, сохраняющая широкий набор функций, близкий к исходному релизу. Именно здесь наблюдается наибольшая функциональная насыщенность и дальнейшее развитие возможностей rootkit.

Lineage B представляет собой облегченную версию с существенно сокращенным профилем. Из нее исключены ключевые функции, включая:

  • перехват учетных данных PAM;
  • скрытие network ports.

Такая минимизация снижает заметность угрозы и уменьшает ее след в системе.

Эволюция в 2023–2025 годах

Образцы 2023 года показали заметное развитие: в OrBit появилась функция xread, позволяющая rootkit обходить собственный hook чтения. Это решило проблемы совместимости с программами, которые используют внутренние wrappers для операций чтения.

Экземпляры 2024 и 2025 годов указывают на продолжение развития обеих lineages. В частности, Lineage A получила дополнительные улучшения, включая PAM-side hook, который позволяет злоумышленникам манипулировать результатами аутентификации.

Образец 2025 года стал поворотным моментом: он представил новую infector architecture, ориентированную на resource-efficient распространение rootkit. Этот infector:

  • сканирует ELF binaries;
  • внедряет в них payload rootkit;
  • демонстрирует первые признаки управления, отходя от прежней пассивной модели deployment.

Исследователи отмечают и structural similarity с более ранними droppers, применявшимися в других кампаниях. Это может указывать либо на пересечение методов у operators, либо на использование общих tools.

Связи с threat actor

Анализ связей OrBit с известными злоумышленниками показывает, что rootkit используется как минимум тремя различными группами, включая UNC3886 и eCrime actor, известный как BLOCKADE SPIDER.

Улики указывают на систематическое использование codebase Medusa, в особенности кластера 2024 года, который практически полностью соответствует configuration UNC3886. Дополнительную значимость этому придает наблюдаемая в OrBit ротация учетных данных и dynamic changes путей установки.

OrBit демонстрирует модульную природу угрозы: несколько actor могут использовать и адаптировать единую codebase для разных malicious goals.

Почему это важно

История OrBit показывает, что один и тот же rootkit может сохранять стабильность в базовой архитектуре, одновременно адаптируясь к новым evasion techniques и меняющимся operational задачам. Для defenders это означает, что угрозу нельзя оценивать как единичный инструмент: речь идет о развивающейся экосистеме, в которой разные злоумышленники используют общую основу для собственных кампаний.

Вывод: OrBit — наглядный пример того, как open-source malware может трансформироваться в долгоживущую и многоцелевую угрозу. Сохраняя core functionality, rootkit получает новые механизмы скрытности, внедрения и manipulation, что делает его значимым объектом внимания в сфере cybersecurity.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "OrBit: руткит Linux с SSH-бэкдором и PAM-хуками".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Операционная система Linux
9688 интересуются