俄罗斯间谍组织Pawn Storm新武器:Linux Fysbis木马

PaloAlto恶意软件研究员发现了一个名为Fysbis的木马,是俄罗斯政府支持的网络间谍组织Pawn Storm所使用的一个简单而有效的Linux木马。

还记得Pawn Storm黑客组织吗?其实它有很多名称,APT28、Sofacy、Sednit等都是这个组织的名字,据推断它至少从2007年就开始活跃了。而Pawn Storm这个名字是安全专家特指的一个大规模经济政治网络间谍行动,它的目标往往是军事、政府、媒体等。Pawn Storm组织在2015年第一季度有大量的活动,建立了大量的exploit URL和新的C&C服务器,用于攻击NATO成员国和欧洲、亚洲、中东政府。

攻击目标

具体目标包括:

  1. 军事机构、大使馆、美国国防部门及其附属机构
  2. 俄罗斯政府的反动派和政见不和者
  3. 国际媒体机构
  4. 美国国安局及其附属机构

Pawn Storm APT组织被认为是一个高度复杂的黑客组织,其兵工厂中有大量的0day exp。该组织会根据不同的操作系统使用不同的恶意软件,例如使用专门感染Apple iOS设备的移动间谍软件。在其使用的那么多工具中,其中最臭名昭著的是一个名为Sednit的Windows后门。

而现在,这个强大的组织又再次出现在我们的视线中,目标转向了Linux系统,借助Fysbis木马感染系统。攻击者利用Fysbis木马无需较高的权限就能访问受害者系统。

“Fysbis木马曾是Sofacy专用的工具,尽管其不是特别复杂,但对于Linux来说仍然是一个很大的威胁。Fysbis是一个模块化的Linux木马(后门),核心组件是一组插件和控制器模块。该恶意软件包括32字节和64字节版本的可执行和链接形式(ELF)二进制。另外,不管有没有root权限,Fysbis都能将自己安装在受害者系统上。”

Fysbis木马的目的是泄露受害者系统上的敏感文件,监视用户的网上行为。PaloAlto Networks 42部门的安全专家发现APT组织有重新使用以往的命令控制基础设施的趋势,通过对Fysbis木马的分析就能证明这一点。

Linux木马的出现并不意外,因为Linux操作平台上包含数据中心、企业云基础构架、应用服务器。另外,Linux还是安卓设备和许多其他嵌入式系统的核心。

本文转自d1net(转载)

时间: 2024-09-20 05:33:23

俄罗斯间谍组织Pawn Storm新武器:Linux Fysbis木马的相关文章

俄罗斯黑客组织Gamaredon携最新武器回归,攻击目标还在搜索中

本文讲的是俄罗斯黑客组织Gamaredon携最新武器回归,攻击目标还在搜索中,根据外媒报道称,俄罗斯黑客组织Gamaredon回归,并在最新的网络间谍活动中使用定制开发的新型恶意软件. Palo Alto Networks公司的安全研究人员表示,名为"Gamaredon"的俄罗斯黑客组织在最新针对乌克兰政府.军事及执法机构的网络间谍活动中使用了一款定制开发的新型恶意软件. Gamaredon APT组织首次出现于2013年,去年LookingGlass的研究人员追踪了一场名为"

俄罗斯间谍黑客组织图拉劫持通信卫星链路盗取数据

国家支持的黑客组织在盗窃数据时,最怕的就是被人定位到命令控制服务器,被切断与目标机器的联系.于是,这伙讲俄语的间谍黑客组织–图拉(Turla),想到了一个绝妙的主意. 他们劫持合法用户的通信卫星IP地址,然后用来盗取数据,以隐藏他们的C2.卡巴斯基的研究人员发现,至少从2007年开始,图拉就已经使用这种隐蔽的技术了. 图拉是一个高度复杂的网络间谍组织,有可能背后为俄罗斯政府支持.十几年来,进行着目标为政府机构.大使馆和军队的网络间谍活动.全世界四十多个国家,都是其活动目标,包括哈萨克斯坦.中国.

德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击

上周五,德国高级官员向路透社透露,德国去年阻止了两起APT28组织发起的网络攻击.APT28又名花式熊.Fancy Bear.Pawn Storm.Sednit.Sofacy和Strontium.美国网络安全公司FireEye认为,APT28是俄罗斯政府幕后支持的黑客组织,专攻军事机构和情报机构. 德国官员称俄罗斯黑客组织APT28去年对其发动网络攻击 - E安全 APT28在曾对德国发起多次网络攻击德国联邦信息安全局(BSI)局长阿恩·肖恩波姆表示,第一起攻击发生在2016年5月,黑客企图为总

盘点2016年热门网络间谍组织

如果你有在关注信息安全资讯的话,那么你会感受到,当下,网络间谍攻击正在变得越来越频繁.虽然2016年才过去半年不到的时间,但据安全公司SurfWatch Labs的最新报告显示,网络间谍相关的安全事件数量已经达到了300起.该家公司表示,网络间谍行动主要集中在中央政府结构,这点发现倒也不奇怪,而攻击政府各大机构的历史已一去不复返. 除了政府之外,软件公司也是该类型网络攻击的主要攻击对象,信息技术公司.消费级出版部门.军队.安全部门.高等教育机构及媒体也都在攻击范围内. SurfWatch经过调查

这些年,BlackTech网络间谍组织干过的事儿……

本文讲的是这些年,BlackTech网络间谍组织干过的事儿--, BlackTech是一个网络间谍组织,以东亚,特别是台湾,有时甚至还包括日本和香港的目标为主.根据其一些C&C服务器的互斥和域名,BlackTech的攻击活动可能旨在窃取其攻击目标的技术. 随着他们的活动和不断发展的战术和技巧,趋势科技的研究人员已经把近些年来看似不相关的三个网络攻击活动PLEAD, Shrouded Crossbow和Waterbear联系在了一起. 研究人员分析了这几种攻击过程的方式,并解析了它们的使用工具,最

深度剖析俄罗斯黑客组织APT29的后门

本文讲的是深度剖析俄罗斯黑客组织APT29的后门,POSTSPY最大程度的利用了内置于Windows系统中的特性来设置隐蔽的后门,这些特性被称为"living off the land"(意思是入侵者使用系统凭据和合法的软件管理工具访问系统,感染和收集有价值的数据).POSHSPY使用WMI来存储后门代码,使其对不熟悉WMI机制的人不可见.PowerShell只有在合法系统过程能被执行,如果是恶意代码执行,能通过加强日志分析或者内存就可以发现. POSHSPY中的特点,如罕见的后门信标

美媒体称俄罗斯间谍用电脑太低级:用纸记密码

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 据美国媒体报道,美国警方近日破获了一个俄罗斯间谍网络,侦获的信息显示,该间谍网络曾经在传输信息过程中遭遇技术问题.由俄罗斯人组成的一个组织本周被控在美国从事间谍活动.有意思的是,这个间谍网络也曾面临困扰很多公司的一些常见安全问题:无线网络配置错误.用纸条记录 口令等. 这些被控的俄罗斯人使用一系列技术彼此传输数据以及将数据传回给莫斯科,其中包

卡巴斯基实验室又发现一个全球性间谍组织

2013年,卡巴斯基实验室的安全专家披露一个针对游戏行业的网络间谍活动,并且恶意程序还是用有效的数字证书签名的.间谍活动的幕后威胁者叫做 Winnti group,其目标是窃取游戏社区的虚拟货币和源代码. 攻击范围 据卡巴斯基发现,Winnti group从2009年一直活跃至今,全球有超过30家游戏公司和在线游戏平台都遭到该组织的攻击. 据称Winnti group是一个基于中国的间谍组织,其大部分攻击目标位于东南亚.德国.美国.日本.中国.俄罗斯.巴西.秘鲁.白俄罗斯.2015年6月,卡巴斯

金融服务的新武器:智能化多因子认证

本文讲的是金融服务的新武器:智能化多因子认证,本文介绍了多因子认证在金融服务业的应用,以及近年来智能化多因子的趋势.智能化主要体现在三个方面:在验证手段方面,更多的使用基于机器学习的生物识别技术:在风险评估方面,设备指纹和行为性生物识别的使用:在触发策略方面,基于风险的动态策略的使用. 正文 在金融服务领域,多因子认证的使用由来已久.多因子认证是一种对服务访问控制的机制,其手段是让用户提供多种证明给认证体系来完成.这些证明通常来自三个大类,分别是:所知,用户所知道的东西:所有,用户所拥有的东西: