Linux系统发现新恶意软件

导读	安全研究人员发现了一种新的Linux恶意软件，它似乎是由中国黑客创建的，并被用作远程控制受感染系统的手段。

这个恶意软件命名为HiddenWasp，由用户模式rootkit，木马和初始部署脚本组成。该恶意软件与另一个最近发现的Linux恶意软件应用程序具有相似的结构--Wennti的Linux版本，这是中国黑客使用的着名黑客工具。复制粘贴工作?中国血统?在今天发布的技术报告中，Intezer Labs的安全研究员Nacho Sanmillan强调了HiddenWasp与其他Linux恶意软件系列共享的几个连接和相似之处，这表明可能已经借用了一些HiddenWasp代码。“我们发现一些开源rootkit中使用的环境变量称为Azazel，”Sanmillan说。

此外，我们还看到与其他已知的ChinaZ恶意软件共享字符串的比率很高，强化了HiddenWasp背后的参与者可能已经集成并修改了可能已经在中文黑客中共享的Elknot [恶意软件]的某些MD5实现的可能性论坛，“研究人员补充道。此外，Sanmillan还发现HiddenWasp与Linux的中文开源rootkit(称为Adore-ng)之间存在联系，甚至还有一些代码重用Mirai IoT恶意软件。但是，虽然HiddenWasp可能不是通过从其他项目中获取代码而组成的第一个恶意软件，但研究人员发现其他有趣的线索表明恶意软件可能是在中国境外创建和运营的。“我们观察到[HiddenWasp]文件上传到VirusTotal，其中包含一个名为中国取证公司沉周王云信息技术有限公司的名称，”Sanmillan说。“此外，恶意软件植入物似乎是由位于香港的物理服务器托管公司ThinkDream托管在服务器中，”他说。HIDDENWASP用作第二阶段有效负载在谈到ZDNet时，Sanmillan说他无法发现黑客是如何传播这种新的恶意软件毒株的，尽管研究人员对此事有自己的看法。

“不幸的是，我不知道最初的感染载体是什么，”Sanmillan告诉我们。“根据我们的研究，似乎很可能这个恶意软件被用于已经受攻击者控制的受损系统中。”黑客似乎使用其他方法破坏Linux系统，然后将HiddenWasp部署为第二阶段有效负载，用于远程控制已感染的系统。根据Sanmillan的说法，HiddenWasp可以与本地文件系统进行交互;上传，下载和运行文件;运行终端命令;和更多。“从我们的研究来看，它看起来像是一种有针对性的攻击植入物，”Sanmilan告诉ZDNet。“很难说它是由[a]国家赞助的攻击者还是其他人使用的，但它绝对不是通常的DDOS /挖掘恶意软件以获取快速利润。”目前，关于谁开发了这个工具，以及已经部署了什么攻击，仍然存在神秘感。Sanmillan发布了折衷指标(IOC)和YARA规则，公司可以使用这些规则扫描和检测HiddenWasp的任何感染。

本文转自：https://www.linuxprobe.com/linux-hiddenwasp-viurs.html