关于针对Windows系统的有针对性的攻击我们已经写了很多文章,这很容易理解。由于Windows它是最适合攻击工具的平台。与此同时,研究人员普遍认为,Linux默认安全的操作系统不会受到恶意软件的攻击。
毫无疑问,Linux并没有面临Windows该系统多年来一直面临病毒、木马和恶意软件的攻击。Linux有恶意软件,比如PHP后门、rootkit并使用代码。如果攻击者能攻击操作Linux服务器不仅可以访问存储在服务器上的数据,还可以访问连接到服务器的运行Windows或macOS例如,通过驱动下载终端。
此外,Linux计算机更有可能不受保护,所以这种攻击很可能不会引起注意。Heartbleed和Shellshock2014年首次报道漏洞时,两大担忧是感染Linux服务器可能成为攻击者进入公司网络的网关,并允许攻击者访问敏感的公司数据。
卡巴斯基的全球研究和分析团队(GReAT)定期发布高级持续攻击(APT)基于研究人员的私人活动摘要APT攻击情报研究在报告中进行了更详细的讨论。在本报告中,研究人员主要关注APT攻击者对Linux攻击资源。
BARIUM APT
研究人员首次报告Winnti APT集团(又名APT41或BARIUM)2013年,他们主要针对赌博公司获得直接利益。与此同时,他们扩大了攻击服务,开发了大量新工具,并致力于更复杂的目标。MESSAGETAP是一种Linux该组织使用恶意软件有选择地拦截电信运营商基础设施的短信。FireEye该组织表示,该组织部署了恶意软件SMS作为其运行的一部分,网关系统渗透到网关系统中ISP与电信公司建立监控网格。
最近,研究人员发现了另一个可疑的问题BARIUM/APT41工具,它以编程语言Go(也称为Golang)这个工具是编写的Linux计算机实现动态,受C2控制数据包损坏/网络攻击工具。虽然不清楚它是为系统管理任务开发的工具,但它也是APT41该工具集的一部分,但提供的功能也可以通过其他系统管理工具来实现,这表明其目的可能是非法的。同样,它在磁盘上的名称也很常见,与它的功能无关,这再次表明它可能是一种用于执行某些类型破坏性攻击的秘密工具。
新的APT恶意软件:Cloud Snooper
今年2月,一些研究人员在云服务器上发现了一种新的APT恶意软件:Cloud Snooper,同时运行Linux和Windows恶意软件可以在本地和云服务器中避免传统的防火墙安全技术。攻击的核心是服务器Linux内核rootkit,内核挂钩netfilter通过防火墙启用隐蔽的流量控制功能C2(命令和控制)通信。研究人员分析并描述了它rootkit用户区后门,“Snoopy”,并可设计大规模识别检测和扫描方法rootkit。通过最终分析,工具集至少可能出现在2016年。
DarkHotel
DarkHotel它将是攻击者Linux该系统是其支持基础设施的一部分。例如,在2018年11月,当研究人员报告使用时GreezeShell后门针对亚太地区和欧洲的外交对象DarkHotel在活动中,我观察到了一些C2服务器正在运行Ubuntu Linux。所有服务器都打开了标准SSH和SMTP另外,它们都用了。Apache Web服务器版本2.4.18。
最强攻击组织“方程式(Equation Group)”
根据卡巴斯基实验室目前掌握的证据,“方程式组织”(Equation Group)与其他网络犯罪组织有关,被认为是著名的震网(Stuxnet)和火焰(Flame)病毒幕后的操纵者。
早在Stuxnet和Flame使用0day在攻击漏洞之前,“方程式组织”已经掌握了这些0day漏洞。有时他们会与其他网络犯罪组织分享漏洞利用程序。
早在2015年,卡巴斯基实验室就发现了方程式组,这是一个高度复杂的攻击者,多次参与CNE(计算机网络开发)行动可以追溯到2001年或1996年。多年来,这个攻击者和其他强大的人APT该组织目前拥有强大的网络攻击工具集。研究人员发现的这些词是:EQUATIONLASER、EQUATIONDRUG、DOUBLEFANTASY、TRIPLEFANTASY、FANNY和GRAYFISH。方程式组的创新并不局限于Windows该组织的平台posix允许在其他平台上并行开发兼容代码库。2015年,研究人员发现了它Linux的早期DOUBLEFANTASY恶意软件。植入程序收集系统信息和凭证,并为感染计算机提供常规访问。考虑到该模块在攻击链中的作用,这表明有类似的后期攻击和更复杂的植入对象。
HackingTeam
HackingTeam它是一家意大利信息技术公司,开发并向世界各地的政府、执法机构和企业销售入侵软件,即所谓的“合法监控软件”。不幸的是,他们在2015年遭到黑客攻击,并遭受数据泄露。受害者是菲尼亚斯·菲舍(Phineas Phisher)的活动人士。随后,包括源代码和客户信息在内的400GB被盗公司的数据被泄露,这些工具被世界各地的攻击者获得、改造和使用,如DancingSalome(又名Callisto)。泄漏工具包括对Adobe Flash (CVE-2015-5119)零日攻击,以及一个复杂的平台,可以提供远程访问、键盘记录、一般信息记录和过滤,也许最值得注意的是直接从内存中检索流加密Skype音频和视频帧的能力。RCS恶意软件(也称远程控制系统)Galileo、Da Vinci、Korablin、Morcut和Crisis)包括多个组件,包括Windows、macOS和Linux桌面代理。
Lazarus
Lazarus该组织是一个活跃在网络犯罪和间谍活动中的犯罪攻击组织。该组织因实施间谍活动和严重破坏性攻击而闻名,如2014年对索尼电影的攻击。近年来,Lazarus 还参与了一些以盈利为动机的网络攻击,包括2016年从孟加拉国央行盗窃8100万美元的惊天劫案和WannaCry勒索软件攻击事件。
2018年,在Lazarus在另一次重大攻击中,23个国家/地区ATM计算机被攻击。据估计,到目前为止,Lazarus组织发起的FASTCash攻击造成的盗窃金额已达数千万美元。2018年,研究人员透露了该组织发起金融攻击的主要工具。ATM计算机的“FASTCash”攻击中,Lazarus首先侵入目标银行的网络和处理ATM在服务器入侵后,攻击者立即植入恶意软件(Trojan.Fastcash)。随后,恶意软件被拦截Lazarus取款请求,并发出伪造的批准响应,使攻击者被盗ATM中的现金。
20202006年6月,研究人员进行了分析Lazarus行动AppleJeus和TangoDaiwbo活动有关的macOS新样本,这些macOS用于金融和间谍攻击。样本已上传到VirusTotal。上传的文件还包括一个Linux其功能和恶意软件变种macOS TangoDaiwbo恶意软件类似。这些样本证实了研究人员两年前强调的进展,该组织正在积极开发非windows恶意软件。
Sofacy攻击
Sofacy(还有其他广为人知的称号,比如APT28、Fancy Bear以及Tsar Team)这是一个非常活跃和高产的APT组织。Sofacy实力雄厚,用了很多0day漏洞,使用的恶意软件工具非常新颖和广泛。2017年Sofacy研究人员仍然活跃,向专属客户反馈Sofacy的许多YARA规则、IOC以及安全报告,反馈数量在2017年排名第一。在组织的武器装备中,有一种工具是SPLM(也被称为CHOPSTICK和XAgent),这是攻击世界各地目标的第二阶段工具。多年来,Sofacy包括2016年在内的多个平台开发了模块“Fysbis”的Linux模块。多年来Windows、macOS、iOS和Linux上一开发人员或小型核心团队正在修改和维护代码。
“公爵”(the Dukes)
“公爵”研究人员在2013年首次发现了它,但最早的使用记录可以追溯到2008年。该组织袭击了车臣、乌克兰、格鲁吉亚、西方政府、非政府组织、北约和个人。该组织被认为是2016年全国民主党代表大会黑客袭击的幕后黑手。Dukes该工具集包含一套实现类似功能但使用几种不同编程语言的全面恶意软件。该组织的恶意软件和活动包括PinchDuke、GeminiDuke、CosmicDuke、MiniDuke、CozyDuke、OnionDuke、SeaDuke、HammerDuke和CloudDuke。至少有一个SeaDuke包含Linux变体。
The Lamberts
卡巴斯基指出,The Lamberts曾经用过一个名字BlackLambert恶意软件攻击了欧洲一家高端机构。
获悉,The Lamberts黑客行动至少于2008年开始。在此期间,它使用各种复杂的攻击工具攻击高端机构,并支持它使用的工具Windows系统和OS系统。此外,卡巴斯基的最新版本是在2016年开发的。
目前Lamberts它已经是一个高度复杂的攻击组织,已知拥有巨大的恶意软件库,包括被动和网络驱动的后门,不断迭代模块化的后门,收集工具并删除恶意软件 (wiper) 攻击。伊朗曾使用 。Shamoon 和 Stone Drill 等 Wiper 恶意软件在中东邻国造成大规模破坏。
2017卡巴斯基实验室验室的研究人员发表了《Lamberts你可以从研究人员的攻击情报报告中获得更多的更新(GoldLambert,SilverLambert,RedLambert,BrownLambert)。各种Lamberts变体的攻击目标无疑是Windows。然而,研究人员是Green Lambert在Windows创建的签名也在Green Lambert的macOS该版本在功能和功能上被触发Windows类似的版本。此外,研究人员还决定了Windows和Linux编译的SilverLambert后门样本。
本文介绍了针对性Linux发起攻击的8个APT下面我们将介绍剩下的6个组织APT组织及相关缓解措施。
本文翻译自:https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/