Linux

EvilGnome: новый бэкдор-имплантат шпионит за пользователями Linux

Исследователи безопасности обнаружили редкую часть шпионского программного обеспечения Linux, которая в настоящее время полностью не обнаружена во всех основных программных продуктах антивирусной безопасности и включает редко встречающиеся функциональные возможности в отношении большинства вредоносных программ для Linux.

Известно, что в дикой природе существует очень мало разновидностей вредоносных программ для Linux по сравнению с вирусами Windows из-за своей базовой архитектуры, низкой доли рынка, а также многие из них даже не имеют широкого спектра функциональных возможностей.

В последние годы, даже после раскрытия серьезных критических уязвимостей в различных версиях операционных систем и программного обеспечения Linux, киберпреступники не смогли использовать большинство из них в своих атаках. Вместо,

Атаки на криптовалюты с целью получения финансовой выгоды и создания бот-сетей DDoS путем захвата уязвимых серверов.

Тем не менее, исследователи из охранной фирмы Intezer Labs недавно обнаружили новый бэкдор-имплантат Linux, который, похоже, находится на стадии разработки и тестирования, но уже содержит несколько вредоносных модулей для слежки за пользователями настольных систем Linux.

EvilGnome: новый Linux Spyware

Дублированный EvilGnome , вредоносная программа была разработана , чтобы делать скриншоты рабочих столов, для кражи файлов, захватывать аудио запись с микрофона пользователя, а также загружать и выполнять дальнейшие действия второго этапа вредоносных модулей.

Согласно новому отчету Intezer Labs, опубликованному в The Hacker News перед его выпуском, образец EvilGnome, обнаруженный в VirusTotal, также содержит незавершенную функциональность кейлоггера, которая указывает на то, что разработчик ошибочно выложил его в Интернете.

EvilGnome: новый бэкдор-имплантат шпионит за пользователями Linux
EvilGnome: новый бэкдор-имплантат шпионит за пользователями Linux

Вредоносное ПО EvilGnome маскируется под законное расширение GNOME – программу, которая позволяет пользователям Linux расширять функциональность своих рабочих столов.

По словам исследователей, имплантат поставляется в виде самораспаковывающегося сценария оболочки архива, созданного с помощью «makeself», небольшого сценария оболочки, который генерирует самораспаковывающийся сжатый архив tar из каталога.

Имплант Linux также получает постоянство в целевой системе, используя crontab, подобно планировщику задач Windows, и отправляет украденные пользовательские данные на удаленный сервер, контролируемый злоумышленником.

«Постоянство достигается путем регистрации gnome-shell-ext.sh для запуска каждую минуту в crontab. Наконец, скрипт выполняет gnome-shell-ext.sh, который, в свою очередь, запускает основной исполняемый файл gnome-shell-ext», – сказали исследователи. ,

Шпионские модули EvilGnome

Шпионский агент EvilGnome содержит пять вредоносных модулей под названием «Стрелки», как описано ниже:

  • ShooterSound – этот модуль использует PulseAudio для захвата звука с микрофона пользователя и загрузки данных на сервер управления и управления оператора.
  • ShooterImage – этот модуль использует библиотеку с открытым исходным кодом Cairo для захвата скриншотов и загрузки их на сервер C & C. Это делается путем открытия соединения с сервером отображения XOrg, который является бэкэндом для рабочего стола Gnome.
  • ShooterFile – этот модуль использует список фильтров для сканирования файловой системы на предмет вновь созданных файлов и загрузки их на сервер C & C.
  • ShooterPing – модуль получает новые команды от сервера C & C, такие как загрузка и выполнение новых файлов, установка новых фильтров для сканирования файлов, загрузка и установка новой конфигурации времени выполнения, эксфильтрация сохраненного вывода на сервер C & C и остановка работы любого модуля стрелка.
  • ShooterKey – этот модуль не реализован и не используется, что, скорее всего, является незаконченным модулем кейлоггинга.

Примечательно, что все вышеперечисленные модули шифруют свои выходные данные и дешифруют команды, полученные от сервера C & C, с помощью ключа RC5 «sdg62_AS.sa $ die3», используя модифицированную версию русской библиотеки с открытым исходным кодом.

Возможное соединение ч/б EvilGnome и Gamaredon Hacking Group

Кроме того, исследователи также обнаружили связи между EvilGnome и Gamaredon Group, предполагаемой российской группой угроз, которая была активна по крайней мере с 2013 годаи предназначалась для лиц, работающих с украинским правительством.

Ниже я кратко изложил некоторые сходства между EvilGnome и Gamaredon Group:

  • EvilGnome использует хостинг-провайдера, который используется Gamaredon Group в течение многих лет и продолжает использоваться им.
  • EvilGnome также обнаружил, что работает на IP-адресе, который контролировался группой Gamaredon два месяца назад.
  • Злоумышленники EvilGnome также используют TTLD «.space» для своих доменов, так же как Gamaredon Group.
  • EvilGnome использует методы и модули, такие как использование SFX, сохранение с помощью планировщика задач и развертывание инструментов для кражи информации, которые напоминают инструменты Gamaredon Group для Windows.

Как обнаружить зловредное вредоносное ПО?

Чтобы проверить, заражена ли ваша система Linux шпионским программным обеспечением EvilGnome, вы можете найти исполняемый файл «gnome-shell-ext» в каталоге «~/.cache/gnome-software/gnome-shell-extensions».

«Мы считаем, что это преждевременная тестовая версия. Мы ожидаем, что в будущем будут обнаружены и проверены новые версии, которые потенциально могут пролить больше света на деятельность группы», – заключают исследователи.
Поскольку антивирусные продукты и системы безопасности в настоящее время не могут обнаружить вредоносное ПО EvilGnome, исследователи рекомендуют заинтересованным администраторам Linux заблокировать IP-адреса Command & Control, перечисленные в разделе IOC в блоге Intezer.

Proxy White Advertisement

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close