# MEDUSA > Tipo: **malware** · S1220 · [MITRE ATT&CK](https://attack.mitre.org/software/S1220) ## Descrição [[s1220-medusa|MEDUSA]] é um rootkit de código aberto para Linux capaz de realizar hijacking do dynamic linker, execução de comandos remotos e captura de credenciais SSH. O MEDUSA foi atribuído ao grupo [[g1048-unc3886|UNC3886]] (nexo China), ator de ameaça sofisticado especializado em comprometimento de dispositivos de rede e virtualização, com histórico de exploração de hypervisors VMware ESXi e appliances de segurança de borda. O MEDUSA hijacka o dynamic linker do Linux ([[t1574-006-dynamic-linker-hijacking|T1574.006]]), interceptando chamadas de biblioteca em tempo de execução para ocultar sua presença e capturar credenciais sem deixar rastros óbvios. O rootkit ([[t1014-rootkit|T1014]]) usa hijacking de SSH ([[t1563-001-ssh-hijacking|T1563.001]]) para capturar credenciais SSH enquanto os usuários se autenticam legitimamente, coletando-as de forma transparente. Os dados são protegidos por arquivo cifrado ([[t1027-013-encryptedencoded-file|T1027.013]]) antes do envio ao C2. O [[g1048-unc3886|UNC3886]] é notável por sua especialização em técnicas de evasão que exploram lacunas de segurança específicas de ambientes de virtualização e dispositivos de rede sem suporte a soluções de EDR. O uso do MEDUSA em servidores Linux representa a expansão das capacidades do grupo além de dispositivos de rede - visando servidores de infraestrutura crítica de longo prazo. **Plataformas:** Linux ## Técnicas Utilizadas - [[t1563-001-ssh-hijacking|T1563.001 - SSH Hijacking]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1014-rootkit|T1014 - Rootkit]] - [[t1574-006-dynamic-linker-hijacking|T1574.006 - Dynamic Linker Hijacking]] ## Grupos que Usam - [[g1048-unc3886|UNC3886]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar carregamento de bibliotecas via LD_PRELOAD em sistemas Linux - técnica central do MEDUSA rootkit para hijacking do dynamic linker. - **[[ds-0015-application-log|System Call Monitoring]]** - Detectar hooking de chamadas de sistema relacionadas a autenticação SSH (`libpam`, `libssh`) por processos não esperados - mecanismo de captura de credenciais do MEDUSA. - **[[ds-0022-file|File Modification]]** - Alertar para modificações em arquivos de biblioteca compartilhada do sistema (`/lib/`, `/usr/lib/`) por processos não relacionados ao gerenciador de pacotes do SO. ```sigma title: MEDUSA Rootkit LD_PRELOAD Hijacking status: experimental logsource: category: process_creation product: linux detection: selection: EnvironmentVariables|contains: 'LD_PRELOAD' filter: Image|startswith: - '/usr/bin/' - '/usr/sbin/' condition: selection and not filter falsepositives: - Security tools using LD_PRELOAD for legitimate hooking level: high tags: - attack.defense-evasion - attack.t1574.006 - code/distill ``` ## Relevância LATAM/Brasil O [[g1048-unc3886|UNC3886]], operador do MEDUSA, é especialista em comprometer infraestrutura de virtualização - VMware ESXi, vCenter - e dispositivos de rede sem suporte a EDR. Data centers e provedores de cloud no Brasil que operam infraestrutura VMware são alvos potenciais desta categoria de ameaça, que explora a lacuna de visibilidade em ambientes onde soluções tradicionais de segurança não se aplicam. ## Referências - [MITRE ATT&CK - S1220](https://attack.mitre.org/software/S1220) - [Mandiant - UNC3886 Exploits VMware](https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass)