Linux系統發現新惡意軟件

安全研究人員發現了一種新的Linux惡意軟件，它彷佛是由中國黑客建立的，並被用做遠程控制受感染系統的手段。

這個惡意軟件命名爲HiddenWasp，由用戶模式rootkit，木馬和初始部署腳本組成。該惡意軟件與另外一個最近發現的Linux惡意軟件應用程序具備類似的結構--Wennti的Linux版本，這是中國黑客使用的着名黑客工具。複製粘貼工做?中國血統?在今天發佈的技術報告中，Intezer Labs的安全研究員Nacho Sanmillan強調了HiddenWasp與其餘Linux惡意軟件系列共享的幾個鏈接和類似之處，這代表可能已經借用了一些HiddenWasp代碼。「咱們發現一些開源rootkit中使用的環境變量稱爲Azazel，」Sanmillan說。

此外，咱們還看到與其餘已知的ChinaZ惡意軟件共享字符串的比率很高，強化了HiddenWasp背後的參與者可能已經集成並修改了可能已經在中文黑客中共享的Elknot [惡意軟件]的某些MD5實現的可能性論壇，「研究人員補充道。此外，Sanmillan還發現HiddenWasp與Linux的中文開源rootkit(稱爲Adore-ng)之間存在聯繫，甚至還有一些代碼重用Mirai IoT惡意軟件。可是，雖然HiddenWasp可能不是經過從其餘項目中獲取代碼而組成的第一個惡意軟件，但研究人員發現其餘有趣的線索代表惡意軟件多是在中國境外建立和運營的。「咱們觀察到[HiddenWasp]文件上傳到VirusTotal，其中包含一個名爲中國取證公司沉周王雲信息技術有限公司的名稱，」Sanmillan說。「此外，惡意軟件植入物彷佛是由位於香港的物理服務器託管公司ThinkDream託管在服務器中，」他說。HIDDENWASP用做第二階段有效負載在談到ZDNet時，Sanmillan說他沒法發現黑客是如何傳播這種新的惡意軟件毒株的，儘管研究人員對此事有本身的見解。

「不幸的是，我不知道最初的感染載體是什麼，」Sanmillan告訴咱們。「根據咱們的研究，彷佛極可能這個惡意軟件被用於已經受攻擊者控制的受損系統中。」黑客彷佛使用其餘方法破壞Linux系統，而後將HiddenWasp部署爲第二階段有效負載，用於遠程控制已感染的系統。根據Sanmillan的說法，HiddenWasp能夠與本地文件系統進行交互;上傳，下載和運行文件;運行終端命令;和更多。「從咱們的研究來看，它看起來像是一種有針對性的攻擊植入物，」Sanmilan告訴ZDNet。「很難說它是由[a]國家贊助的攻擊者仍是其餘人使用的，但它絕對不是一般的DDOS /挖掘惡意軟件以獲取快速利潤。」目前，關於誰開發了這個工具，以及已經部署了什麼攻擊，仍然存在神祕感。Sanmillan發佈了折衷指標(IOC)和YARA規則，公司可使用這些規則掃描和檢測HiddenWasp的任何感染。