關(guān)于針對(duì)Windows系統(tǒng)的有針對(duì)性的攻擊我們已經(jīng)寫了很多文章，這很容易理解。由于Windows的流行，它是最適合攻擊工具的平臺(tái)。與此同時(shí)，研究人員普遍認(rèn)為L(zhǎng)inux是一種默認(rèn)安全的操作系統(tǒng)，不會(huì)受到惡意軟件的攻擊。

毫無(wú)疑問(wèn)，Linux并沒有面臨Windows系統(tǒng)多年來(lái)所面臨的病毒、木馬和惡意軟件的攻擊。然而，Linux確實(shí)存在惡意軟件，比如PHP后門、rootkit和利用代碼。如果攻擊者能夠攻擊運(yùn)行Linux的服務(wù)器，不僅可以訪問(wèn)存儲(chǔ)在服務(wù)器上的數(shù)據(jù)，還可以訪問(wèn)連接到服務(wù)器上運(yùn)行Windows或macOS的終端，例如，通過(guò)驅(qū)動(dòng)下載。

[[342324]]

此外，Linux計(jì)算機(jī)更有可能不受保護(hù)，因此這種攻擊很可能不會(huì)引起注意。當(dāng)Heartbleed和Shellshock漏洞在2014年首次被報(bào)道時(shí)，兩個(gè)主要的擔(dān)憂是，受感染的Linux服務(wù)器可能成為攻擊者進(jìn)入公司網(wǎng)絡(luò)的網(wǎng)關(guān)，并且可以使攻擊者訪問(wèn)敏感的公司數(shù)據(jù)。

卡巴斯基的全球研究和分析團(tuán)隊(duì)(GReAT)定期發(fā)布高級(jí)持續(xù)攻擊(APT)活動(dòng)摘要，其基礎(chǔ)是在研究人員的私人APT報(bào)告中更詳細(xì)地討論的攻擊情報(bào)研究。在本報(bào)告中，研究人員主要關(guān)注APT攻擊者對(duì)Linux資源的攻擊。

BARIUM APT

研究人員第一次報(bào)道Winnti APT集團(tuán)(又名APT41或BARIUM)是在2013年，當(dāng)時(shí)他們主要針對(duì)博彩公司，以獲得直接的利益。與此同時(shí)，他們擴(kuò)大了自己的攻擊服務(wù)，開發(fā)了大量的新工具，并致力于更復(fù)雜的目標(biāo)。MESSAGETAP是一種Linux惡意軟件，該組織使用它有選擇地?cái)r截來(lái)自電信運(yùn)營(yíng)商基礎(chǔ)設(shè)施的短信。據(jù)FireEye稱，該組織將該惡意軟件部署在SMS網(wǎng)關(guān)系統(tǒng)上，作為其運(yùn)營(yíng)的一部分，滲透到ISP和電信公司，以建立監(jiān)控網(wǎng)格。

最近，研究人員發(fā)現(xiàn)了另一個(gè)可疑的BARIUM/APT41工具，它以編程語(yǔ)言Go(也稱為Golang)編寫，該工具為L(zhǎng)inux計(jì)算機(jī)實(shí)現(xiàn)了動(dòng)態(tài)的，受C2控制的數(shù)據(jù)包損壞/網(wǎng)絡(luò)攻擊工具。盡管尚不清楚它是為系統(tǒng)管理任務(wù)而開發(fā)的工具，還是它也是APT41工具集的一部分，但它提供的功能也可以通過(guò)其他系統(tǒng)管理工具來(lái)實(shí)現(xiàn)這一事實(shí)表明，其目的可能是不合法的。同樣，它在磁盤上的名稱相當(dāng)通用，與它的功能無(wú)關(guān)，這再次表明它可能是用于執(zhí)行某些類型的破壞性攻擊的秘密工具。

新的APT惡意軟件：Cloud Snooper

今年2月有研究人員在云服務(wù)器上發(fā)現(xiàn)了一種新的APT惡意軟件：Cloud Snooper，同時(shí)運(yùn)行Linux和Windows的惡意軟件它可以在本地和云服務(wù)器中規(guī)避傳統(tǒng)的防火墻安全技術(shù)。攻擊的核心是一個(gè)面向服務(wù)器的Linux內(nèi)核rootkit，該內(nèi)核掛鉤了netfilter流量控制功能，以啟用穿越防火墻的隱蔽C2(命令和控制)通信。研究人員分析和描述了rootkit的用戶區(qū)后門，稱為“Snoopy”，并能夠設(shè)計(jì)檢測(cè)和掃描方法來(lái)大規(guī)模識(shí)別rootkit。通過(guò)最終分析，該工具集可能至少?gòu)?016年就已經(jīng)出現(xiàn)了。

DarkHotel

DarkHotel是一個(gè)攻擊者，它將Linux系統(tǒng)作為其支持基礎(chǔ)設(shè)施的一部分。例如，在2018年11月，當(dāng)研究人員報(bào)告使用GreezeShell后門針對(duì)亞太地區(qū)和歐洲的外交對(duì)象的DarkHotel活動(dòng)時(shí)，就觀察到一些C2服務(wù)器正在運(yùn)行Ubuntu Linux。所有服務(wù)器都打開了標(biāo)準(zhǔn)的SSH和SMTP端口。此外，他們都使用Apache Web服務(wù)器版本2.4.18。

最強(qiáng)攻擊組織“方程式(Equation Group)”

根據(jù)卡巴斯基實(shí)驗(yàn)室目前所掌握的證據(jù)，“方程式組織”(Equation Group)與其他網(wǎng)絡(luò)犯罪組織有關(guān)聯(lián)，并被認(rèn)為是著名的震網(wǎng)(Stuxnet)和火焰(Flame)病毒幕后的操縱者。

早在Stuxnet和Flame使用0day漏洞進(jìn)行攻擊之前，“方程式組織”就已經(jīng)掌握了這些0day漏洞。有些時(shí)候，他們還會(huì)同其他網(wǎng)絡(luò)犯罪組織分享漏洞利用程序。

卡巴斯基實(shí)驗(yàn)室早在2015年就發(fā)現(xiàn)了方程式組，這是一個(gè)高度復(fù)雜的攻擊者，已經(jīng)參與了多次CNE(計(jì)算機(jī)網(wǎng)絡(luò)開發(fā))行動(dòng)，可以追溯到2001年，或許是更早的1996年。多年來(lái)，這個(gè)攻擊者與其他強(qiáng)大的APT團(tuán)體進(jìn)行合作，目前該組織擁有一個(gè)強(qiáng)大的網(wǎng)絡(luò)攻擊工具集。研究人員發(fā)現(xiàn)的這些詞有:EQUATIONLASER、EQUATIONDRUG、DOUBLEFANTASY、TRIPLEFANTASY、FANNY和GRAYFISH。方程式組的創(chuàng)新并不局限于Windows平臺(tái)，該組織的posix兼容代碼庫(kù)允許在其他平臺(tái)上進(jìn)行并行開發(fā)。2015年，研究人員就發(fā)現(xiàn)了針對(duì)Linux的早期DOUBLEFANTASY惡意軟件。該植入程序收集系統(tǒng)信息和憑據(jù)，并提供對(duì)受感染計(jì)算機(jī)的常規(guī)訪問(wèn)?？紤]到該模塊在攻擊鏈中所起的作用，這表明存在類似的后期攻擊，更復(fù)雜的植入對(duì)象。

HackingTeam

HackingTeam是一家意大利信息技術(shù)公司，它開發(fā)并向世界各地的政府、執(zhí)法機(jī)構(gòu)和企業(yè)出售入侵軟件，也就是所謂的“合法監(jiān)控軟件”。不幸的是，他們?cè)?015年遭到了黑客攻擊，并遭受了一次數(shù)據(jù)泄漏，受害者是一位名叫菲尼亞斯·菲舍(Phineas Phisher)的活動(dòng)人士。隨后，包括源代碼和客戶信息在內(nèi)的400GB被盜公司數(shù)據(jù)被泄漏，使得這些工具被世界各地的攻擊者獲取、改造和使用，比如DancingSalome(又名Callisto)。泄漏的工具包括對(duì)Adobe Flash (CVE-2015-5119)的零日攻擊，以及能夠提供遠(yuǎn)程訪問(wèn)、鍵盤記錄、一般信息記錄和過(guò)濾的復(fù)雜平臺(tái)，也許最值得注意的是，繞過(guò)流加密直接從內(nèi)存中檢索Skype音頻和視頻幀的能力。RCS(遠(yuǎn)程控制系統(tǒng))惡意軟件(又名Galileo、Da Vinci、Korablin、Morcut和Crisis)包含多個(gè)組件，包括Windows、macOS和Linux的桌面代理。

Lazarus

Lazarus組織是一個(gè)活躍在網(wǎng)絡(luò)犯罪和間諜活動(dòng)中的犯罪攻擊組織。該組織由于實(shí)施間諜活動(dòng)和嚴(yán)重破壞性攻擊被公眾知曉，例如2014年對(duì)索尼影業(yè)發(fā)起的攻擊。近年來(lái)，Lazarus 還參與多個(gè)以牟利為動(dòng)機(jī)的網(wǎng)絡(luò)攻擊，包括2016年從孟加拉國(guó)中央銀行盜走8100萬(wàn)美元的驚天劫案以及WannaCry勒索軟件攻擊事件。

2018年，在Lazarus發(fā)起的另一次重大攻擊事件中，23個(gè)國(guó)家/地區(qū)的ATM計(jì)算機(jī)被攻擊。據(jù)估計(jì)，到目前為止，Lazarus組織發(fā)起的FASTCash攻擊所造成的被盜金額已經(jīng)高達(dá)數(shù)千萬(wàn)美元。2018年，有研究人員調(diào)研，揭露該組織發(fā)起金融攻擊所用的主要工具。在針對(duì)ATM計(jì)算機(jī)的“FASTCash”攻擊中，Lazarus首先侵入目標(biāo)銀行的網(wǎng)絡(luò)和處理ATM交易的切換應(yīng)用服務(wù)器，在服務(wù)器被入侵后，攻擊者立即植入惡意軟件(Trojan.Fastcash)。隨后，該惡意軟件攔截Lazarus的取款請(qǐng)求，并發(fā)送偽造的批準(zhǔn)響應(yīng)，使攻擊者盜走ATM中的現(xiàn)金。

2020年6月，研究人員分析了與Lazarus行動(dòng)AppleJeus和TangoDaiwbo活動(dòng)有關(guān)的macOS新樣本，這些macOS被用于金融和間諜攻擊。樣本已經(jīng)上傳到VirusTotal。上傳的文件還包括一個(gè)Linux惡意軟件變種，其功能與macOS TangoDaiwbo惡意軟件類似。這些樣本證實(shí)了研究人員兩年前強(qiáng)調(diào)的一個(gè)進(jìn)展，該組織正在積極開發(fā)非windows惡意軟件。

Sofacy攻擊

Sofacy(還有其他廣為人知的稱號(hào)，如APT28、Fancy Bear以及Tsar Team)是一個(gè)非?；钴S又高產(chǎn)的APT組織。Sofacy的實(shí)力雄厚，用到了許多0day漏洞，所使用的惡意軟件工具集非常新穎且范圍廣泛。2017年Sofacy依然活躍，研究人員向?qū)倏蛻舴答伭岁P(guān)于Sofacy的許多YARA規(guī)則、IOC以及安全報(bào)告，反饋數(shù)量高居2017年榜首。在該組織的武器裝備中，有一種工具是SPLM(也被稱為CHOPSTICK和XAgent)，這是一種第二階段的工具，有選擇地用于攻擊世界各地的目標(biāo)。多年來(lái)，Sofacy已經(jīng)為多個(gè)平臺(tái)開發(fā)了模塊，包括在2016年被檢測(cè)為“Fysbis”的Linux模塊。多年來(lái)在Windows、macOS、iOS和Linux上看到的一致成果表明，同一個(gè)開發(fā)人員，或者一個(gè)小的核心團(tuán)隊(duì)，正在修改和維護(hù)代碼。

“公爵”(the Dukes)

“公爵”是一個(gè)被用了很多年的攻擊工具，研究人員在2013年首次發(fā)現(xiàn)了它，但最早的使用記錄可以追溯到2008年。該組織襲擊了車臣、烏克蘭、格魯吉亞、西方政府、非政府組織、北約和個(gè)人。該組織被認(rèn)為是2016年美國(guó)民主黨全國(guó)代表大會(huì)遭黑客襲擊的幕后黑手。Dukes的工具集包含了一套全面的惡意軟件，它們實(shí)現(xiàn)了類似的功能，但使用了幾種不同的編程語(yǔ)言。該組織的惡意軟件和活動(dòng)包括PinchDuke、GeminiDuke、CosmicDuke、MiniDuke、CozyDuke、OnionDuke、SeaDuke、HammerDuke和CloudDuke。其中至少有一個(gè)SeaDuke包含Linux變體。

The Lamberts

卡巴斯基指出，The Lamberts曾利用過(guò)一個(gè)叫做BlackLambert的惡意軟件對(duì)歐洲一高端機(jī)構(gòu)發(fā)起了網(wǎng)絡(luò)攻擊。

獲悉，The Lamberts至少?gòu)?008年就已經(jīng)開始了黑客行動(dòng)，期間它利用了多種復(fù)雜的攻擊工具對(duì)高端機(jī)構(gòu)發(fā)起攻擊，其所利用的工具同時(shí)支持Windows系統(tǒng)和OS系統(tǒng)。另外，卡巴斯基最新發(fā)現(xiàn)的版本則是在2016年開發(fā)的。

目前Lamberts已經(jīng)是一個(gè)高度復(fù)雜的攻擊者組織，已知擁有巨大的惡意軟件庫(kù)，包括被動(dòng)的，網(wǎng)絡(luò)驅(qū)動(dòng)的后門，不斷迭代模塊化的后門，收集工具和擦除惡意軟件 (wiper) 進(jìn)行攻擊。伊朗曾使用 Shamoon 和 Stone Drill 等 Wiper 惡意軟件在中東鄰國(guó)造成大規(guī)模破壞。

2017年，卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)表了《Lamberts家族概述》研究報(bào)告，你可以從研究人員的攻擊情報(bào)報(bào)告中獲得更多更新(GoldLambert，SilverLambert，RedLambert，BrownLambert)。各種Lamberts變體的攻擊目標(biāo)無(wú)疑是Windows。不過(guò)，研究人員為Green Lambert在Windows上創(chuàng)建的簽名也在Green Lambert的macOS版本上觸發(fā)了，該版本在功能上與Windows版本相似。此外，研究人員還確定了為Windows和Linux編譯的SilverLambert后門樣本。

本文介紹了針對(duì)Linux發(fā)起攻擊的8個(gè)APT組織，下文我們將介紹剩余的6個(gè)APT組織以及相關(guān)的緩解措施。

本文翻譯自：https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/