Linux系统发现新恶意软件

安全研究人员发现了一种新的Linux恶意软件，它彷佛是由中国黑客建立的，并被用做远程控制受感染系统的手段。

这个恶意软件命名为HiddenWasp，由用户模式rootkit，木马和初始部署脚本组成。该恶意软件与另外一个最近发现的Linux恶意软件应用程序具备类似的结构--Wennti的Linux版本，这是中国黑客使用的着名黑客工具。复制粘贴工做?中国血统?在今天发布的技术报告中，Intezer Labs的安全研究员Nacho Sanmillan强调了HiddenWasp与其余Linux恶意软件系列共享的几个链接和类似之处，这代表可能已经借用了一些HiddenWasp代码。“咱们发现一些开源rootkit中使用的环境变量称为Azazel，”Sanmillan说。

此外，咱们还看到与其余已知的ChinaZ恶意软件共享字符串的比率很高，强化了HiddenWasp背后的参与者可能已经集成并修改了可能已经在中文黑客中共享的Elknot [恶意软件]的某些MD5实现的可能性论坛，“研究人员补充道。此外，Sanmillan还发现HiddenWasp与Linux的中文开源rootkit(称为Adore-ng)之间存在联系，甚至还有一些代码重用Mirai IoT恶意软件。可是，虽然HiddenWasp可能不是经过从其余项目中获取代码而组成的第一个恶意软件，但研究人员发现其余有趣的线索代表恶意软件多是在中国境外建立和运营的。“咱们观察到[HiddenWasp]文件上传到VirusTotal，其中包含一个名为中国取证公司沉周王云信息技术有限公司的名称，”Sanmillan说。“此外，恶意软件植入物彷佛是由位于香港的物理服务器托管公司ThinkDream托管在服务器中，”他说。HIDDENWASP用做第二阶段有效负载在谈到ZDNet时，Sanmillan说他没法发现黑客是如何传播这种新的恶意软件毒株的，尽管研究人员对此事有本身的见解。

“不幸的是，我不知道最初的感染载体是什么，”Sanmillan告诉咱们。“根据咱们的研究，彷佛极可能这个恶意软件被用于已经受攻击者控制的受损系统中。”黑客彷佛使用其余方法破坏Linux系统，而后将HiddenWasp部署为第二阶段有效负载，用于远程控制已感染的系统。根据Sanmillan的说法，HiddenWasp能够与本地文件系统进行交互;上传，下载和运行文件;运行终端命令;和更多。“从咱们的研究来看，它看起来像是一种有针对性的攻击植入物，”Sanmilan告诉ZDNet。“很难说它是由[a]国家赞助的攻击者仍是其余人使用的，但它绝对不是一般的DDOS /挖掘恶意软件以获取快速利润。”目前，关于谁开发了这个工具，以及已经部署了什么攻击，仍然存在神秘感。Sanmillan发布了折衷指标(IOC)和YARA规则，公司可使用这些规则扫描和检测HiddenWasp的任何感染。