PaloAlto惡意軟件研究員發現了一個名為Fysbis的木馬,是俄羅斯政府支持的網絡間諜組織Pawn Storm所使用的一個簡單而有效的Linux木馬。
還記得Pawn Storm黑客組織嗎?其實它有很多名稱,APT28、Sofacy、Sednit等都是這個組織的名字,據推斷它至少從2007年就開始活躍了。而Pawn Storm這個名字是安全專家特指的一個大規模經濟政治網絡間諜行動,它的目標往往是軍事、政府、媒體等。Pawn Storm組織在2015年第一季度有大量的活動,建立了大量的exploit URL和新的C&C服務器,用于攻擊NATO成員國和歐洲、亞洲、中東政府。
攻擊目標
具體目標包括:
1. 軍事機構、大使館、美國國防部門及其附屬機構
2. 俄羅斯政府的反動派和政見不和者
3. 國際媒體機構
4. 美國國安局及其附屬機構
Pawn Storm APT組織被認為是一個高度復雜的黑客組織,其兵工廠中有大量的0day exp。該組織會根據不同的操作系統使用不同的惡意軟件,例如使用專門感染Apple iOS設備的移動間諜軟件。在其使用的那么多工具中,其中最臭名昭著的是一個名為Sednit的Windows后門。
而現在,這個強大的組織又再次出現在我們的視線中,目標轉向了Linux系統,借助Fysbis木馬感染系統。攻擊者利用Fysbis木馬無需較高的權限就能訪問受害者系統。
“Fysbis木馬曾是Sofacy專用的工具,盡管其不是特別復雜,但對于Linux來說仍然是一個很大的威脅。Fysbis是一個模塊化的Linux木馬(后門),核心組件是一組插件和控制器模塊。該惡意軟件包括32字節和64字節版本的可執行和鏈接形式(ELF)二進制。另外,不管有沒有root權限,Fysbis都能將自己安裝在受害者系統上。”
Fysbis木馬的目的是泄露受害者系統上的敏感文件,監視用戶的網上行為。PaloAlto Networks 42部門的安全專家發現APT組織有重新使用以往的命令控制基礎設施的趨勢,通過對Fysbis木馬的分析就能證明這一點。
Linux木馬的出現并不意外,因為Linux操作平臺上包含數據中心、企業云基礎構架、應用服務器。另外,Linux還是安卓設備和許多其他嵌入式系統的核心。
京公網安備 11010502049343號