安全研究人員發(fā)現(xiàn)了一種新的Linux惡意軟件，似乎是中國(guó)黑客開(kāi)發(fā)的，用于遠(yuǎn)程控制受感染的系統(tǒng)。

該惡意軟件由用戶(hù)模式Rootkit、特洛伊木馬和初始部署腳本組成。

該惡意軟件的結(jié)構(gòu)類(lèi)似于最近發(fā)現(xiàn)的另一種Linux惡意軟件--Linux版本的Winnti，這是中國(guó)國(guó)家黑客使用的一種著名黑客工具。

在今天發(fā)表的一份技術(shù)報(bào)告中，InterzerLabs的安全研究員NachoSanmillan強(qiáng)調(diào)了Hidden黃蜂與其他Linux惡意軟件系列共享的幾個(gè)連接和相似之處，這表明一些Hidden黃蜂代碼可能已經(jīng)被借用了。

"我們發(fā)現(xiàn)了一些在稱(chēng)為Azazel的開(kāi)源rootkit中使用的環(huán)境變量，"三米倫說(shuō)。

"此外，我們還看到了與其他已知的Chinaaz惡意軟件的共享字符串的高比率，增強(qiáng)了Hiddenasp背后的行為體可能集成和修改了可能在中國(guó)黑客論壇中共享的[the]el結(jié)[惡意軟件]中的一些MD5實(shí)施的可能性，"加入了研究人員。

此外，SanMillan還發(fā)現(xiàn)了Hidenwasp和中國(guó)開(kāi)源rootkit之間的連接，該RootkitforLinux被稱(chēng)為崇拜NG-NG，甚至還有一些代碼與MiraiIoT惡意軟件一起使用。

但是，雖然隱藏黃蜂可能不是第一個(gè)通過(guò)從其他項(xiàng)目中獲取代碼而組合在一起的惡意軟件菌株，但研究人員發(fā)現(xiàn)了其他有趣的線(xiàn)索，表明惡意軟件可能是在中國(guó)境外創(chuàng)建和操作的。

"我們觀察到，[Hiddenasp]文件被上載到Vizrustal，該路徑包含名為ShenZhouWangYunInformationTechnologyCo.,Ltd.的基于中國(guó)的取證公司的名稱(chēng)。"三米倫說(shuō)。

"此外,惡意軟件植入物似乎被托管在來(lái)自位于香港的Think夢(mèng)想的物理服務(wù)器托管公司的服務(wù)器中,"說(shuō)。

在接受ZDNet采訪(fǎng)時(shí)，Sanmillan說(shuō)，他無(wú)法發(fā)現(xiàn)黑客是如何傳播這種新的惡意軟件病毒的，盡管這位研究人員對(duì)此有自己的想法。

"不幸的是，我不知道什么是最初的感染向量，"三米倫告訴我們."基于我們的研究，這種惡意軟件很可能被攻擊者所控制的受損系統(tǒng)中使用。"

黑客似乎使用其他方法危害Linux系統(tǒng)，然后將Hidenwasp部署為第二級(jí)有效載荷，它們用于遠(yuǎn)程控制已感染的系統(tǒng)。

根據(jù)SanMillan的說(shuō)法，Hidden黃蜂可以與本地文件系統(tǒng)交互;上傳、下載和運(yùn)行文件;運(yùn)行終端命令;以及更多。

"從我們的研究看來(lái)，它看起來(lái)像是來(lái)自目標(biāo)攻擊的植入物，"桑米蘭告訴ZDNET."很難說(shuō)它是由[A]國(guó)家贊助的攻擊者或其他人使用的，但它絕對(duì)不是通常的DDoS/挖掘惡意軟件，以獲得快速的利潤(rùn)。"

難題在于知道誰(shuí)開(kāi)發(fā)了該工具以及誰(shuí)在攻擊期間使用了它。 SanMillan已發(fā)布折衷指標(biāo)和Yara規(guī)則，通過(guò)使用這些指標(biāo)，公司可以調(diào)查和檢測(cè)Hidenwasp的所有感染。