发现了针对Linux系统的新HiddenWasp恶意软件

 安全研究人员发现了一种新的Linux恶意软件，似乎是中国黑客开发的，用于远程控制受感染的系统。

该恶意软件由用户模式Rootkit、特洛伊木马和初始部署脚本组成。

该恶意软件的结构类似于最近发现的另一种Linux恶意软件--Linux版本的Winnti，这是中国国家黑客使用的一种著名黑客工具。

在今天发表的一份技术报告中，InterzerLabs的安全研究员NachoSanmillan强调了Hidden黄蜂与其他Linux恶意软件系列共享的几个连接和相似之处，这表明一些Hidden黄蜂代码可能已经被借用了。

"我们发现了一些在称为Azazel的开源rootkit中使用的环境变量，"三米伦说。

"此外，我们还看到了与其他已知的Chinaaz恶意软件的共享字符串的高比率，增强了Hiddenasp背后的行为体可能集成和修改了可能在中国黑客论坛中共享的[the]el结[恶意软件]中的一些MD5实施的可能性，"加入了研究人员。

此外，SanMillan还发现了Hidenwasp和中国开源rootkit之间的连接，该RootkitforLinux被称为崇拜NG-NG，甚至还有一些代码与MiraiIoT恶意软件一起使用。

但是，虽然隐藏黄蜂可能不是第一个通过从其他项目中获取代码而组合在一起的恶意软件菌株，但研究人员发现了其他有趣的线索，表明恶意软件可能是在中国境外创建和操作的。

"我们观察到，[Hiddenasp]文件被上载到Vizrustal，该路径包含名为ShenZhouWangYunInformationTechnologyCo.,Ltd.的基于中国的取证公司的名称。"三米伦说。

"此外,恶意软件植入物似乎被托管在来自位于香港的Think梦想的物理服务器托管公司的服务器中,"说。

在接受ZDNet采访时，Sanmillan说，他无法发现黑客是如何传播这种新的恶意软件病毒的，尽管这位研究人员对此有自己的想法。

"不幸的是，我不知道什么是最初的感染向量，"三米伦告诉我们."基于我们的研究，这种恶意软件很可能被攻击者所控制的受损系统中使用。"

黑客似乎使用其他方法危害Linux系统，然后将Hidenwasp部署为第二级有效载荷，它们用于远程控制已感染的系统。

根据SanMillan的说法，Hidden黄蜂可以与本地文件系统交互;上传、下载和运行文件;运行终端命令;以及更多。

"从我们的研究看来，它看起来像是来自目标攻击的植入物，"桑米兰告诉ZDNET."很难说它是由[A]国家赞助的攻击者或其他人使用的，但它绝对不是通常的DDoS/挖掘恶意软件，以获得快速的利润。"

难题在于知道谁开发了该工具以及谁在攻击期间使用了它。 SanMillan已发布折衷指标和Yara规则，通过使用这些指标，公司可以调查和检测Hidenwasp的所有感染。