此外,由于Linux计算机很可能不受保护,因此这种攻击很可能不会引起注意。 2014年首次报道Heartbleed和Shellshock的漏洞时,两个主要关切是,被感染的Linux服务器成为攻击者进入公司网络的网关,攻击者可以访问机密的公司数据。
卡巴斯基全球研究分析小组(GReAT )定期发表高度持续攻击(APT )活动摘要,其基础是研究者个人APT报告中更详细讨论的攻击信息研究。 在本报告中,研究者主要关注APT攻击者对Linux资源的攻击。
BARIUM APT
研究者第一次报道Winnti APT集团(也称为APT41或BARIUM )是在2013年,他们主要以博彩公司为对象直接受益。 同时,他们扩大了自己的攻击服务,开发了许多新工具,致力于更复杂的目标。 MESSAGETAP是一种Linux恶意软件,可选择性地监听来自电信运营商基础架构的消息。 根据FireEye,组织将该恶意软件引入SMS网关系统,作为其运营的一部分渗透到ISP和通信公司,构建了监视网格。
最近,研究者发现了另一个可疑的BARIUM/APT41工具。 该工具用编程语言go (也称为Golang )编写,该工具在Linux计算机上动态,实现了由C2控制的数据包破坏/网络攻击工具。 虽然不知道是为系统管理任务开发的工具还是APT41成套工具的一部分,但其他系统管理工具也能实现功能这一事实表明其目的可能是不正当的。 同样,磁盘上的名称非常常见,无论功能如何,它可能是执行特定类型破坏性攻击的秘密工具。
新的APT恶意软件: Cloud Snooper
今年2月,一位研究者在云服务器上发现了新的APT恶意软件Cloud Snooper,通过同时运行Linux和Windows恶意软件,避免了本地服务器和云服务器上的传统防火墙安全技术攻击的核心是面向服务器的Linux内核根工具包,它与netfilter流量控制功能挂钩,以启用跨防火墙的隐藏C2 (命令和控制)通信。 研究者可以分析和说明被称为“Snoopy”的rootkit用户区域的后门,设计检查和扫描的方法,大规模识别rootkit。 在最终的分析中,该工具集至少可能从2016年开始出现。
中文
电话咨询
微信咨询
公众号
