Uusi RingReaper-haittaohjelma kiertää Linuxin tietoturvaohjelmia io_uring-liitännän avulla

JAKELUK: Linuxin tietoturvaan on syyskuussa 2025 ilmestynyt uusi uhka, RingReaper-haittaohjelma. Picus Securityn julkaiseman analyysin mukaan haittaohjelma hyödyntää Linuxin io_uring-rajapintaa kiertääkseen tehokkaasti Endpoint Detection and Response (EDR) -ratkaisuja.

RingReaper on kehittynyt post-exploitation-agentti, joka on suunniteltu Linux-ympäristöihin. Sen ensisijainen tarkoitus on suorittaa salaisia operaatioita huomaamattomasti. Sen sijaan, että se käyttäisi perinteisiä järjestelmäkutsuja, joita tietoturvaohjelmistot valvovat, RingReaper käyttää io_uringia. Tämä asynkroninen I/O-liitäntä mahdollistaa tiedostojen lukemisen, verkkoyhteyksien hallinnan ja prosessien tunnistamisen ilman, että se herättää epäilyksiä, mikä vaikeuttaa sen havaitsemista.

Picus Securityn tutkijat ovat havainneet, että RingReaper käyttää io_uringia useisiin tehtäviin. Näihin kuuluvat prosessien tunnistaminen (/proc-tiedostojärjestelmän kautta), aktiivisten verkkoyhteyksien listaaminen (netstat-työkaluja muistuttava toiminto) sekä kirjautuneiden käyttäjien tietojen kerääminen (/dev/pts ja /proc-tiedostoista). Haittaohjelma pystyy myös lukemaan paikallisia tiedostoja, kuten /etc/passwd-tiedostoa, hyödyntäen io_uring-mekanismia minimoidakseen jälkiään.

Analyysin mukaan RingReaperin toimintatapa vähentää merkittävästi sen näkyvyyttä järjestelmän lokeissa ja telemetriatiedossa, joita EDR-ratkaisut yleensä keräävät. Tämä tekniikka mahdollistaa hyökkääjille pääsyn järjestelmän tietoihin ja verkkoyhteyksiin huomaamattomammin, mikä lisää riskiä tietomurroille ja muulle haitalliselle toiminnalle Linux-palvelimilla.