针对Linux发起攻击的14个APT组织（上）

关于针对Windows系统的有针对性的攻击我们已经写了很多文章，这很容易理解。由于Windows的流行，它是最适合攻击工具的平台。与此同时，研究人员普遍认为Linux是一种默认安全的操作系统，不会受到恶意软件的攻击。毫无疑问，Linux并没有面临Windows系统多年来所面临的病毒、木马和恶意软件的攻击。然而，Linux确实存在恶意软件，比如PHP后门、rootkit和利用代码。如果攻击者能够攻击运行Linux的服务器，不仅可以访问存储在服务器上的数据，还可以访问连接到服务器上运行Windows或macOS的终端，例如，通过驱动下载。此外，Linux计算机更有可能不受保护，因此这种攻击很可能不会引起注意。当Heartbleed和Shellshock漏洞在2014年首次被报道时，两个主要的担忧是，受感染的Linux服务器可能成为攻击者进入公司网络的网关，并且可以使攻击者访问敏感的公司数据。

卡巴斯基的全球研究和分析团队(GReAT)定期发布高级持续攻击(APT)活动摘要，其基础是在研究人员的私人APT报告中更详细地讨论的攻击情报研究。在本报告中，研究人员主要关注APT攻击者对Linux资源的攻击。

BARIUM APT

研究人员第一次报道Winnti APT集团(又名APT41或BARIUM)是在2013年，当时他们主要针对博彩公司，以获得直接的利益。与此同时，他们扩大了自己的攻击服务，开发了大量的新工具，并致力于更复杂的目标。MESSAGETAP是一种Linux恶意软件，该组织使用它有选择地拦截来自电信运营商基础设施的短信。据FireEye称，该组织将该恶意软件部署在SMS网关系统上，作为其运营的一部分，渗透到ISP和电信公司，以建立监控网格。

最近，研究人员发现了另一个可疑的BARIUM/APT41工具，它以编程语言Go(也称为Golang)编写，该工具为Linux计算机实现了动态的，受C2控制的数据包损坏/网络攻击工具。尽管尚不清楚它是为系统管理任务而开发的工具，还是它也是APT41工具集的一部分，但它提供的功能也可以通过其他系统管理工具来实现这一事实表明，其目的可能是不合法的。同样，它在磁盘上的名称相当通用，与它的功能无关，这再次表明它可能是用于执行某些类型的破坏性攻击的秘密工具。

新的APT恶意软件：Cloud Snooper

今年2月有研究人员在云服务器上发现了一种新的APT恶意软件：Cloud Snooper，同时运行Linux和Windows的恶意软件它可以在本地和云服务器中规避传统的防火墙安全技术。攻击的核心是一个面向服务器的Linux内核rootkit，该内核挂钩了netfilter流量控制功能，以启用穿越防火墙的隐蔽C2(命令和控制)通信。研究人员分析和描述了rootkit的用户区后门，称为“Snoopy”，并能够设计检测和扫描方法来大规模识别rootkit。通过最终分析，该工具集可能至少从2016年就已经出现了。

DarkHotel

DarkHotel是一个攻击者，它将Linux系统作为其支持基础设施的一部分。例如，在2018年11月，当研究人员报告使用GreezeShell后门针对亚太地区和欧洲的外交对象的DarkHotel活动时，就观察到一些C2服务器正在运行Ubuntu Linux。所有服务器都打开了标准的SSH和SMTP端口。此外，他们都使用Apache Web服务器版本2.4.18。

最强攻击组织“方程式(Equation Group)”

根据卡巴斯基实验室目前所掌握的证据，“方程式组织”(Equation Group)与其他网络犯罪组织有关联，并被认为是著名的震网(Stuxnet)和火焰(Flame)病毒幕后的操纵者。

早在Stuxnet和Flame使用0day漏洞进行攻击之前，“方程式组织”就已经掌握了这些0day漏洞。有些时候，他们还会同其他网络犯罪组织分享漏洞利用程序。

卡巴斯基实验室早在2015年就发现了方程式组，这是一个高度复杂的攻击者，已经参与了多次CNE(计算机网络开发)行动，可以追溯到2001年，或许是更早的1996年。多年来，这个攻击者与其他强大的APT团体进行合作，目前该组织拥有一个强大的网络攻击工具集。研究人员发现的这些词有:EQUATIONLASER、EQUATIONDRUG、DOUBLEFANTASY、TRIPLEFANTASY、FANNY和GRAYFISH。方程式组的创新并不局限于Windows平台，该组织的posix兼容代码库允许在其他平台上进行并行开发。2015年，研究人员就发现了针对Linux的早期DOUBLEFANTASY恶意软件。该植入程序收集系统信息和凭据，并提供对受感染计算机的常规访问。考虑到该模块在攻击链中所起的作用，这表明存在类似的后期攻击，更复杂的植入对象。

HackingTeam

HackingTeam是一家意大利信息技术公司，它开发并向世界各地的政府、执法机构和企业出售入侵软件，也就是所谓的“合法监控软件”。不幸的是，他们在2015年遭到了黑客攻击，并遭受了一次数据泄漏，受害者是一位名叫菲尼亚斯·菲舍(Phineas Phisher)的活动人士。随后，包括源代码和客户信息在内的400GB被盗公司数据被泄漏，使得这些工具被世界各地的攻击者获取、改造和使用，比如DancingSalome(又名Callisto)。泄漏的工具包括对Adobe Flash (CVE-2015-5119)的零日攻击，以及能够提供远程访问、键盘记录、一般信息记录和过滤的复杂平台，也许最值得注意的是，绕过流加密直接从内存中检索Skype音频和视频帧的能力。RCS(远程控制系统)恶意软件(又名Galileo、Da Vinci、Korablin、Morcut和Crisis)包含多个组件，包括Windows、macOS和Linux的桌面代理。

Lazarus

Lazarus组织是一个活跃在网络犯罪和间谍活动中的犯罪攻击组织。该组织由于实施间谍活动和严重破坏性攻击被公众知晓，例如2014年对索尼影业发起的攻击。近年来，Lazarus 还参与多个以牟利为动机的网络攻击，包括2016年从孟加拉国中央银行盗走8100万美元的惊天劫案以及WannaCry勒索软件攻击事件。

2018年，在Lazarus发起的另一次重大攻击事件中，23个国家/地区的ATM计算机被攻击。据估计，到目前为止，Lazarus组织发起的FASTCash攻击所造成的被盗金额已经高达数千万美元。2018年，有研究人员调研，揭露该组织发起金融攻击所用的主要工具。在针对ATM计算机的“FASTCash”攻击中，Lazarus首先侵入目标银行的网络和处理ATM交易的切换应用服务器，在服务器被入侵后，攻击者立即植入恶意软件(Trojan.Fastcash)。随后，该恶意软件拦截Lazarus的取款请求，并发送伪造的批准响应，使攻击者盗走ATM中的现金。

2020年6月，研究人员分析了与Lazarus行动AppleJeus和TangoDaiwbo活动有关的macOS新样本，这些macOS被用于金融和间谍攻击。样本已经上传到VirusTotal。上传的文件还包括一个Linux恶意软件变种，其功能与macOS TangoDaiwbo恶意软件类似。这些样本证实了研究人员两年前强调的一个进展，该组织正在积极开发非windows恶意软件。

Sofacy攻击

Sofacy(还有其他广为人知的称号，如APT28、Fancy Bear以及Tsar Team)是一个非常活跃又高产的APT组织。Sofacy的实力雄厚，用到了许多0day漏洞，所使用的恶意软件工具集非常新颖且范围广泛。2017年Sofacy依然活跃，研究人员向专属客户反馈了关于Sofacy的许多YARA规则、IOC以及安全报告，反馈数量高居2017年榜首。在该组织的武器装备中，有一种工具是SPLM(也被称为CHOPSTICK和XAgent)，这是一种第二阶段的工具，有选择地用于攻击世界各地的目标。多年来，Sofacy已经为多个平台开发了模块，包括在2016年被检测为“Fysbis”的Linux模块。多年来在Windows、macOS、iOS和Linux上看到的一致成果表明，同一个开发人员，或者一个小的核心团队，正在修改和维护代码。

“公爵”(the Dukes)

“公爵”是一个被用了很多年的攻击工具，研究人员在2013年首次发现了它，但最早的使用记录可以追溯到2008年。该组织袭击了车臣、乌克兰、格鲁吉亚、西方政府、非政府组织、北约和个人。该组织被认为是2016年美国民主党全国代表大会遭黑客袭击的幕后黑手。Dukes的工具集包含了一套全面的恶意软件，它们实现了类似的功能，但使用了几种不同的编程语言。该组织的恶意软件和活动包括PinchDuke、GeminiDuke、CosmicDuke、MiniDuke、CozyDuke、OnionDuke、SeaDuke、HammerDuke和CloudDuke。其中至少有一个SeaDuke包含Linux变体。

The Lamberts

卡巴斯基指出，The Lamberts曾利用过一个叫做BlackLambert的恶意软件对欧洲一高端机构发起了网络攻击。

获悉，The Lamberts至少从2008年就已经开始了黑客行动，期间它利用了多种复杂的攻击工具对高端机构发起攻击，其所利用的工具同时支持Windows系统和OS系统。另外，卡巴斯基最新发现的版本则是在2016年开发的。

目前Lamberts已经是一个高度复杂的攻击者组织，已知拥有巨大的恶意软件库，包括被动的，网络驱动的后门，不断迭代模块化的后门，收集工具和擦除恶意软件 (wiper) 进行攻击。伊朗曾使用 Shamoon 和 Stone Drill 等 Wiper 恶意软件在中东邻国造成大规模破坏。

2017年，卡巴斯基实验室的研究人员发表了《Lamberts家族概述》研究报告，你可以从研究人员的攻击情报报告中获得更多更新(GoldLambert，SilverLambert，RedLambert，BrownLambert)。各种Lamberts变体的攻击目标无疑是Windows。不过，研究人员为Green Lambert在Windows上创建的签名也在Green Lambert的macOS版本上触发了，该版本在功能上与Windows版本相似。此外，研究人员还确定了为Windows和Linux编译的SilverLambert后门样本。

本文介绍了针对Linux发起攻击的8个APT组织，下文我们将介绍剩余的6个APT组织以及相关的缓解措施。

本文翻译自：https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/

【责任编辑：赵宁宁 TEL：（010）68476606】