几天前 安全研究人员发现了各种新的Linux恶意软件 它似乎是由中国黑客创建的,并已被用作远程控制受感染系统的手段。
叫做HiddenWasp, 该恶意软件由用户模式rootkit,木马和初始部署脚本组成。
与在Linux上运行的其他恶意程序不同, 该代码和收集到的证据表明,受感染的计算机已经被这些相同的黑客入侵。
因此,HiddenWasp的执行将是销毁此威胁链中的高级阶段。
尽管文章说我们不知道感染了多少台计算机或如何执行上述步骤,但应注意,大多数“后门”类型的程序都是通过单击对象来安装的。 (链接,图像或可执行文件),而用户没有意识到这是一种威胁。
社会工程是特洛伊木马用来诱骗受害者在其计算机或移动设备上安装HiddenWasp等软件包的一种攻击形式,可能是这些攻击者用来实现其目标的技术。
在逃避和威慑策略中,该工具包使用bash脚本以及二进制文件。 根据Intezer研究人员的说法,从Total Virus下载的文件具有包含中国法医学会名称的路径。
关于HiddenWasp
恶意软件 HiddenWasp由三个危险组件组成,例如Rootkit,Trojan和恶意脚本。
以下系统正在作为威胁的一部分。
- 本地文件系统操作: 该引擎可用于将各种文件上载到受害者的主机或劫持任何用户信息,包括个人和系统信息。 这尤其令人担忧,因为它可用于导致犯罪,例如金融盗窃和身份盗窃。
- 命令执行: 如果包括这样的安全旁路,则主机可以自动启动各种命令,包括具有root权限的命令。
- 额外的有效负载交付: 创建的感染可用于安装和启动其他恶意软件,包括勒索软件和加密货币服务器。
- 木马操作: HiddenWasp Linux恶意软件可以用来控制受影响的计算机。
另外, 该恶意软件将被托管在香港一家名为Think Dream的物理服务器托管公司的服务器上。
Intezer研究人员Ignacio Sanmillan在文章中写道:“其他平台仍然未知的Linux恶意软件可能给安全社区带来新的挑战。”
他说:“这个恶意程序设法躲在雷达下的事实,对于安全行业来说,应该投入更多的精力或资源来检测这些威胁,这是一个危险信号。”
其他专家也对此事发表了评论, AT&T Alien Labs的安全研究员Tom Hegel:
“有很多未知数,因为该工具包中的各个部分与各种开源工具有一些代码/可重用性重叠。 但是,基于重叠和基础结构设计的大型模式,除了将其用于目标之外,我们还可以自信地评估与Winnti Umbrella的关联。
Tripwire产品管理和策略副总裁Tim Erlin:
“除了针对Linux,HiddenWasp的技术并不独特。 如果您正在监视Linux系统中的关键文件更改,新文件的出现或其他可疑更改,则该恶意软件可能被标识为HiddenWasp”
我怎么知道我的系统受到威胁?
要检查其系统是否被感染,他们可以寻找“ ld.so”文件。 如果任何文件不包含字符串“ /etc/ld.so.preload”,则系统可能已损坏。
这是因为Trojan植入程序将尝试修补ld.so实例,以从任意位置强制执行LD_PRELOAD机制。
数据来源: https://www.intezer.com/