Các nhà nghiên cứu bảo mật đã phát hiện ra một phần mềm gián điệp Linux hiếm hoi hiện chưa bị phát hiện trên tất cả các sản phẩm phần mềm bảo mật chống vi-rút lớn và bao gồm các chức năng hiếm thấy liên quan đến hầu hết các phần mềm độc hại Linux.
Có một sự thật được biết rằng có rất ít loại phần mềm độc hại Linux tồn tại trong tự nhiên so với các vi-rút Windows vì kiến trúc cốt lõi của nó và cũng do thị phần thấp của nó, và nhiều trong số chúng thậm chí không có phạm vi rộng của các chức năng.
Trong những năm gần đây, ngay cả sau khi tiết lộ các lỗ hổng nghiêm trọng nghiêm trọng trong các loại hệ điều hành và phần mềm Linux khác nhau, tội phạm mạng đã không thể tận dụng hầu hết các cuộc tấn công của chúng.
Thay vào đó, một số lượng lớn phần mềm độc hại nhắm vào hệ sinh thái Linux chủ yếu tập trung vào các cuộc tấn công khai thác tiền điện tử để kiếm lợi nhuận và tạo ra các botnet DDoS bằng cách chiếm quyền điều khiển các máy chủ dễ bị tấn công.
Tuy nhiên, các nhà nghiên cứu tại công ty bảo mật Intezer Labs gần đây đã phát hiện ra một bộ cấy backlink Linux mới dường như đang trong giai đoạn phát triển và thử nghiệm nhưng đã bao gồm một số mô-đun độc hại để theo dõi người dùng máy tính để bàn Linux.
EvilGnome: Phần mềm gián điệp Linux mớiĐược đặt tên là EvilGnome , phần mềm độc hại đã được thiết kế để chụp ảnh màn hình máy tính để bàn, đánh cắp các tập tin, ghi lại âm thanh từ micrô của người dùng cũng như tải xuống và thực hiện các mô-đun độc hại giai đoạn hai.
Theo một báo cáo mới, Intezer Labs đã chia sẻ với trước khi phát hành, mẫu EvilGnome mà nó phát hiện trên VirusTotal cũng chứa chức năng keylogger chưa hoàn thành, cho biết rằng nó đã bị nhà phát triển tải lên nhầm.
Phần mềm độc hại EvilGnome giả mạo như một phần mở rộng Gnome hợp pháp, một chương trình cho phép người dùng Linux mở rộng chức năng của máy tính để bàn của họ.
Theo các nhà nghiên cứu, bộ cấy được phân phối dưới dạng một tập lệnh shell lưu trữ tự giải nén được tạo bằng ‘makeelf’, một tập lệnh shell nhỏ tạo ra một kho lưu trữ tar nén tự giải nén từ một thư mục.
Bộ cấy Linux cũng có được sự bền bỉ trên một hệ thống được nhắm mục tiêu bằng crontab, tương tự như trình lập lịch tác vụ của windows và gửi dữ liệu người dùng bị đánh cắp đến một máy chủ do kẻ tấn công kiểm soát từ xa.
Các nhà nghiên cứu cho biết: “Sự kiên trì đạt được bằng cách đăng ký gnome-shell-ext.sh để chạy mỗi phút trong crontab. Cuối cùng, kịch bản thực thi gnome-shell-ext.sh, từ đó khởi chạy gnome-shell-ext,” các nhà nghiên cứu cho biết. .
Các mô-đun phần mềm gián điệp của EvilGnomeSpy Agent của EvilGnome chứa năm mô-đun độc hại gọi là “Shooters”, như được giải thích dưới đây:
- ShooterSound – mô-đun này sử dụng PulseAudio để thu âm thanh từ micrô của người dùng và tải dữ liệu lên máy chủ chỉ huy và kiểm soát của nhà điều hành.
- ShooterImage – mô-đun này sử dụng thư viện mã nguồn mở Cairo để chụp ảnh màn hình và tải chúng lên máy chủ C & C. Nó làm như vậy bằng cách mở một kết nối đến XOrg Display Server, đây là phần phụ trợ cho máy tính để bàn Gnome.
- ShooterFile – mô-đun này sử dụng danh sách bộ lọc để quét hệ thống tệp cho các tệp mới được tạo và tải chúng lên máy chủ C & C.
- ShooterPing – mô-đun nhận các lệnh mới từ máy chủ C & C, như tải xuống và thực thi các tệp mới, đặt các bộ lọc mới để quét tệp, tải xuống và đặt cấu hình thời gian chạy mới, lọc ra đầu ra được lưu trữ cho máy chủ C & C và ngăn mọi mô-đun bắn súng chạy.
- ShooterKey – mô-đun này không được thực hiện và không được sử dụng, rất có thể là mô-đun keylogging chưa hoàn thành.
Đáng chú ý, tất cả các mô-đun trên đều mã hóa dữ liệu đầu ra và giải mã các lệnh nhận được từ máy chủ C & C bằng khóa RC5 “sdg62_AS.sa $ die3”, sử dụng phiên bản sửa đổi của thư viện nguồn mở của Nga.
Kết nối có thể có b / w Nhóm hack EvilGnome và GamaredonHơn nữa, các nhà nghiên cứu cũng tìm thấy mối liên hệ giữa EvilGnome và Gamaredon Group, một nhóm mối đe dọa Nga đã hoạt động từ ít nhất 2013 và đã nhắm mục tiêu vào các cá nhân làm việc với chính phủ Ukraine.
Ở đây bên dưới, tôi đã tóm tắt một số điểm tương đồng giữa EvilGnome và Gamaredon Group:
- EvilGnome sử dụng một nhà cung cấp dịch vụ lưu trữ đã được Gamaredon Group sử dụng trong nhiều năm và tiếp tục được sử dụng bởi nó.
- EvilGnome cũng được tìm thấy đang hoạt động trên một địa chỉ IP được kiểm soát bởi nhóm Gamaredon hai tháng trước.
- Những kẻ tấn công EvilGnome cũng đang sử dụng TTLD ‘.space’ cho các miền của họ, giống như Nhóm Gamaredon.
- EvilGnome sử dụng các kỹ thuật và mô-đun, giống như việc sử dụng SFX, kiên trì với trình lập lịch tác vụ và triển khai các công cụ đánh cắp thông tin mà gợi nhớ về các công cụ Windows của Gamaredon Group.
Làm thế nào để phát hiện phần mềm độc hại EvilGnome?Để kiểm tra xem hệ thống Linux của bạn có bị nhiễm phần mềm gián điệp EvilGnome hay không, bạn có thể tìm tệp thực thi “gnome-shell-ext” trong thư mục “~ / .cache / gnome-software / gnome-shell-extend”.
“Chúng tôi tin rằng đây là phiên bản thử nghiệm sớm. Chúng tôi dự đoán các phiên bản mới hơn sẽ được phát hiện và xem xét trong tương lai, có khả năng làm sáng tỏ hơn hoạt động của nhóm”, các nhà nghiên cứu kết luận.
Do các sản phẩm chống vi-rút và bảo mật hiện không phát hiện được phần mềm độc hại EvilGnome, các nhà nghiên cứu khuyên các quản trị viên Linux có liên quan nên chặn các địa chỉ IP Command & Control được liệt kê trong phần IOC của bài đăng trên blog của Intezer.