我们已经写了很多针对Windows系统的针对性攻击的文章,很容易理解。由于其受欢迎程度,Windows是最适合攻击工具的平台。同时,研究人员普遍认为Linux是默认安全的操作系统,可以免疫恶意软件攻击。毫无疑问,Linux并没有面临Windows系统多年来所面临的病毒、木马和恶意软件的攻击。但是,Linux确实存在PHP后门、rootkit和漏洞利用代码等恶意软件。如果攻击者能够破坏运行Linux的服务器,则不仅可以访问存储在服务器上的数据,还可以访问连接到运行Windows或macOS的服务器的终端,例如,通过驱动器下载。此外,Linux计算机更有可能不受保护,因此这种攻击很可能不会引起注意。当Heartbleed和Shellshock漏洞于2014年首次报告时,两个主要问题是受感染的Linux服务器可能充当攻击者进入企业网络的网关,并可能使攻击者能够访问敏感的企业数据。卡巴斯基全球研究与分析团队(GReAT)根据研究人员的私人APT报告中更详细讨论的攻击情报研究,定期发布高级持续攻击(APT)活动的摘要。在这份报告中,研究人员重点关注APT攻击者对Linux资源的攻击。BARIUMAPT研究人员于2013年首次报告了WinntiAPT组织(又名APT41或BARIUM),当时他们主要针对游戏公司以获得直接利益。与此同时,他们扩展了攻击服务,开发了大量新工具,并致力于更复杂的目标。MESSAGETAP是一种Linux恶意软件,该组织使用它有选择地拦截来自电信运营商基础设施的文本消息。根据FireEye的说法,该组织在SMS网关系统上部署了恶意软件,作为其渗透ISP和电信公司以创建监控网格的操作的一部分。最近,研究人员发现了另一个可疑的BARIUM/APT41工具,它是用Go(也称为Golang)编程语言编写的,它为Linux计算机实现了一个动态的、C2控制的数据包损坏/网络攻击工具。虽然不清楚它是为系统管理任务开发的,还是它也是APT41工具集的一部分,但它提供的功能也可以由其他系统管理工具实现,这一事实表明它的目的可能是非法的。此外,它在磁盘上的名称相当通用,与其功能无关,再次表明它可能是用于执行某些类型的破坏性攻击的隐蔽工具。新的APT恶意软件:CloudSnooper今年2月,研究人员在云服务器上发现了一种新的APT恶意软件:CloudSnooper,该恶意软件同时运行Linux和Windows,可以规避本地和云服务器中的传统APT防火墙安全技术。攻击的核心是一个面向服务器的Linux内核rootkit,它挂钩netfilter流量控制功能以启用跨防火墙的隐蔽C2(命令和控制)通信。研究人员对名为“Snoopy”的Rootkit用户空间后门进行了分析和表征,并能够设计检测和扫描方法以大规模识别Rootkit。通过最终分析,该工具集可能至少从2016年就存在了。DarkHotelDarkHotel是一个使用Linux系统作为其支持基础设施的一部分的攻击者。例如,2018年11月,当研究人员报告DarkHotel活动使用GreezeShell后门针对亚太和欧洲的外交目标时,观察到一些C2服务器运行UbuntuLinux。所有服务器都打开了标准的SSH和SMTP端口。此外,它们都使用ApacheWeb服务器版本2.4.18。最强攻击组织“方程组”根据卡巴斯基实验室目前掌握的证据,“方程组”(EquationGroup)与其他网络犯罪组织有关,被认为是著名的震网病毒(Stuxnet)和Flame背后的操纵者病毒。早在Stuxnet和Flame利用零日漏洞进行攻击之前,“方程组”就已经掌握了这些零日漏洞。在某些情况下,他们还与其他网络犯罪集团共享漏洞。卡巴斯基实验室早在2015年就发现了EquationGroup,这是一个高度复杂的攻击者,从2001年开始就参与了几次CNE(计算机网络利用)操作,甚至可能更早,在1996年。多年来,这个演员与其他强大的APT组织合作,该组织现在拥有强大的网络攻击工具集。研究人员发现的单词是:EQUATIONLASER、EQUATIONDRUG、DOUBLEFANTASY、TRIPLEFANTASY、FANNY和GRAYFISH。EquationGroup的创新不仅限于Windows平台,该集团的POSIX兼容代码库允许在其他平台上进行并行开发。2015年,研究人员发现了一种针对Linux的早期DOUBLEFANTASY恶意软件。植入程序收集系统信息和凭据,并提供对受感染计算机的一般访问。鉴于此模块在攻击链中扮演的角色,这表明存在类似的后期攻击,具有更复杂的植入目标。HackingTeamHackingTeam是一家意大利信息技术公司,为世界各地的政府、执法机构和企业开发和销售入侵软件,即所谓的“合法监视软件”。不幸的是,他们在2015年遭到黑客攻击并遭遇数据泄露,涉及一位名叫PhineasPhisher的活动家。随后泄露的400GB被盗公司数据(包括源代码和客户信息)使这些工具能够被世界各地的攻击者获取、改编和使用,例如DancingSalome(又名Callisto)。泄露的工具包括针对Adob??eFlash的零日攻击(CVE-2015-5119),以及能够提供远程访问、键盘记录、一般信息记录、过滤的复杂平台,也许最值得注意的是,直接从The能够检索内存中的Skype音频和视频帧。RCS(远程控制系统)恶意软件(又名Galileo、DaVinci、Korablin、Morcut和Crisis)包含多个组件,包括适用于Windows、macOS和Linux的桌面代理。LazarusLazarus是一个活跃于网络犯罪和间谍活动的犯罪攻击集团。该组织因其间谍活动和破坏性攻击而为公众所熟知,例如2014年对索尼影业的攻击。近年来,Lazarus还参与了几起以盈利为动机的网络攻击,包括2016年从孟加拉国中央银行窃取8100万美元的盗窃案和WannaCry勒索软件攻击。2018年,在Lazarus的另一次重大攻击中,23个国家/地区的ATM计算机遭到破坏。据估计,截至目前,拉撒路组织发起的FASTCash攻击已损失数千万美元。2018年,研究人员调查并揭示了该组织用于发起金融攻击的主要工具。在针对ATM计算机的“FASTCash”攻击中,Lazarus首先破坏了目标银行的网络和处理ATM交易的交换应用服务器。服务器被攻破后,攻击者立即植入恶意软件(Trojan.Fastcash)。然后,该恶意软件会拦截Lazarus的取款请求并发送虚假的批准响应,从而使攻击者能够从ATM机上窃取现金。2020年6月,研究人员分析了与Lazarus行动AppleJeus和TangoDaiwbo活动相关的macOS新样本,这些活动被用于金融和间谍攻击。样本已上传至VirusTotal。上传的文件还包括一个Linux恶意软件变体,其功能类似于macOSTangoDaiwbo恶意软件。这些样本证实了研究人员两年前强调的一项发展,即该组织正在积极开发非Windows恶意软件。Sofacy攻击Sofacy(以及其他知名组织,如APT28、FancyBear和TsarTeam)是一个非常活跃且多产的APT组织。Sofacy很强大,有许多零日攻击,以及一个非常新颖且范围广泛的恶意软件工具集。Sofacy在2017年依然活跃,研究人员向独家客户反馈了很多关于Sofacy的YARA规则、IOC和安全报告,2017年反馈数量排名第一。第二阶段工具有选择地用于对付世界各地的目标。多年来,Sofacy已经为多个平台开发了模块,其中一个Linux模块在2016年被检测为“Fysbis”。多年来在Windows、macOS、iOS和Linux上看到的一致结果表明,同一个开发人员或一个小型核心团队,正在修改和维护代码。“公爵”(theDukes)“公爵”是一种沿用多年的攻击工具。研究人员于2013年首次发现它,但其使用的最早记录可追溯到2008年。该组织袭击了车臣、乌克兰、格鲁吉亚、西方政府、非政府组织、北约和个人。该组织被认为是2016年民主党全国代表大会黑客攻击的幕后黑手。Dukes的工具集由一套全面的恶意软件组成,这些恶意软件实现了类似的功能,但使用了多种不同的编程语言。该组织的恶意软件和活动包括PinchDuke、GeminiDuke、CosmicDuke、MiniDuke、CozyDuke、OnionDuke、SeaDuke、HammerDuke和CloudDuke。其中至少有一个,SeaDuke,包含一个Linux变体。Lamberts卡巴斯基指出,TheLamberts使用一种名为BlackLambert的恶意软件对一家欧洲高端组织发起了网络攻击。据了解,TheLamberts至少从2008年就开始了黑客行动,期间使用了多种复杂的攻击工具对高端组织进行攻击,所使用的工具同时支持Windows和OS系统。此外,卡巴斯基发现的最新版本是2016年开发的。目前,Lamberts已经是一个高度复杂的攻击者群体,已知拥有庞大的恶意软件库,包括被动的、网络驱动的后门、不断迭代的模块化后门、收集工具和用于攻击的雨刮器恶意软件(wipers)。伊朗使用Shamoon和StoneDrill等Wiper恶意软件对中东邻国造成严重破坏。2017年,卡巴斯基实验室的研究人员发表了《Lamberts家族概述》的研究报告,您可以从研究人员的攻击情报报告(GoldLambert、SilverLambert、RedLambert、BrownLambert)中获得更多更新。各种Lamberts变体的目标无疑是Windows。然而,研究人员在Windows上为GreenLambert创建的签名也在GreenLambert的macOS版本上触发,该版本在功能上与Windows版本相似。此外,研究人员还确定了为Windows和Linux编译的SilverLambert后门样本。本文介绍了8个针对Linux发起攻击的APT组织。下面我们将介绍其余6个APT组织及相关缓解措施。本文翻译自:https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/
