Säkerhet forskare har hittat en ny stam av Linux skadlig kod som verkar ha skapats av Kinesiska hackare och har använts som ett sätt att på distans kontrollera infekterade system.
Heter HiddenWasp, denna malware är sammansatt av en user-mode rootkit, trojaner, och en första driftsättning manus.
Malware har en liknande struktur till en annan nyligen upptäckt Linux malware stam-Linux version av Winnti, en berömd hacking verktyg som används av Kinesiska hackare.
Kopiera-och-klistra-jobb? Kinesiskt ursprung?
I en teknisk rapport som publiceras idag, Nacho Sanmillan, en säkerhetsforskare på Intezer Labs, belyser flera anslutningar och likheter som HiddenWasp aktier med andra Linux-malware familjer, vilket tyder på att vissa av HiddenWasp kod kan ha lånat.
“Vi hittade några av de miljövariabler som används i en open-source rootkit känd som Asasel,” Sanmillan sagt.
“Dessutom måste vi också se en hög grad av gemensamt strängar med andra kända ChinaZ malware, stärka möjligheten att aktörer bakom HiddenWasp kan ha integrerade och modifierade några MD5 genomförande från och med [den] Elknot [skadlig kod] som kunde ha varit delat i Kinesisk hacka forum,” forskaren lagt till.
Dessutom, Sanmillan också finns kopplingar mellan HiddenWasp och en Kinesisk open-source rootkit Linux känd som Tillber-ng, och även en del återanvändning av kod med Mirai IoT malware.
Men medan HiddenWasp är kanske inte det första malware stam sätta ihop genom att ta koden från andra projekt, forskare hittat andra intressanta ledtrådar som tyder på att skadlig kod kan ha skapats och drivs av Kina.
“Vi konstaterade att [HiddenWasp] filer som laddas upp till VirusTotal att använda en sökväg som innehåller namnet på en Kinesisk-baserade kriminalteknik företag som är känt som Shen Zhou Wang Yun Information Technology Co., Ltd.,” Sanmillan sagt.
“Dessutom, malware implantaten verkar vara värd i servrar från en fysisk server hosting företag som är känt som ThinkDream beläget i Hong Kong,” sade han.
HiddenWasp används som en andra etapp av nyttolast
Sett till ZDNet Sanmillan sa att han inte kunde upptäcka hur hackare är att sprida denna nya malware stam, även om forskaren hade sina egna tankar om saken.
“Tyvärr, jag vet inte vad som är den ursprungliga infektionen vektor,” Sanmillan berättade för oss. “Baserat på vår forskning, det verkar mest troligt att detta malware användes på olika system som redan kontrolleras av angriparen.”
Hackare verkar kompromiss Linux-system med hjälp av andra metoder, och sedan distribuera HiddenWasp som en andra etapp av nyttolast, som de använder för att kontrollera redan infekterade system på distans.
Enligt Sanmillan, HiddenWasp kan interagera med det lokala filsystemet, ladda upp, ladda ner, och filer som körs; kör terminal-kommandon, och mer.
“Från vår forskning, det ser ut som ett implantat från en riktad attack,” Sanmilan berättade ZDNet. “Det är svårt att säga om det används av [a] – nation-sponsrade angripare eller någon annan, men det är definitivt inte vanligt DDOS/gruvdrift skadlig kod för snabba vinster.”
För nu, mysteriet är fortfarande om vem som utvecklat detta verktyg, och i vad attacker har denna använts. Sanmillan har publicerat indikatorer av kompromiss (IOCs) och YARA regler som företag kan använda för att skanna och upptäcka eventuella infektioner med HiddenWasp.
Relaterade skadliga program och it-brottslighet täckning:
Emotet dominerar skadliga hot landskapet i 2019Ohio skolan skickar elever och hem på grund av Trickbot malware infectionSecurity forskare upptäcka Linux-version av Winnti malwareHackers är scanning för MySQL-servrar för att distribuera GandCrab ransomwareGoogle forskning: de Flesta hacker-för-hyra tjänster är fraudsCompany bakom LeakedSource åberopat sig skyldig i CanadaThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter