黑客组织Outlaw更新攻击工具包,目标瞄准Linux和Unix系统

黑客组织Outlaw更新攻击工具包,目标瞄准Linux和Unix系统

网络安全公司趋势科技(Trend Micro)于近日发文称,黑客组织Outlaw在沉寂了6个月左右的时间后再度活跃了起来,且带来了更新后的攻击工具包。

根据趋势科技的说法,Outlaw此次进行的更新包括扩展了扫描程序的参数和目标,改进了扫描活动的规避技术,且开始通过杀死其他黑客组织安装的挖矿恶意软件来提高“采矿”的利润。

新的Outlaw攻击工具包

分析表明,新的Outlaw攻击工具包旨在窃取汽车和金融行业的信息,以及针对之前已经受感染的系统发动后续攻击,目标设备包括基于Linux和Unix的操作系统,如未及时安装补丁(CVE-2016-8655和CVE-2016-5195)的服务器以及物联网设备。

趋势科技表示,攻击是从一台虚拟专用服务器(VPS)开始的,该服务器被用于搜索易受攻击的计算机,然后发送打包成.tgz格式(也有一些伪装成.png或.jpg格式的样本)的攻击工具包,以发起入侵。

如上所述,新的Outlaw攻击工具包会通过杀死其他黑客组织安装的挖矿恶意软件来提高“采矿”的利润。

从代码来看,新的Outlaw攻击工具包会尝试删除所有相关的文件和代码,并创建一个新的工作目录“/tmp/.X19-unix”来移动工具包并提取文件。

ELF脚本“init”和“init2”均被用于确保杀死所有正在运行的挖矿服务,并通过授予777权限来确保工作目录中的所有文件都已执行。

黑客组织Outlaw更新攻击工具包,目标瞄准Linux和Unix系统

图1.ELF脚本init

黑客组织Outlaw更新攻击工具包,目标瞄准Linux和Unix系统

图2.ELF脚本init2

此外,攻击工具包还会重置cron并从其他程序中删除可能的缓存文件,同时启动脚本和二进制文件a、init0和start,并通过修改crontab以实现长久驻留。

伪装成合法进程的Shellbot

根据趋势科技的说法,新的Outlaw攻击工具包包含一种名为“Shellbot”的僵尸病毒,在运行时伪装成一个名为“rsync”的合法进程,而该进程在许多基于Unix和Linux的系统上都存在,可以自动运行以进行备份和同步。

显然,Outlaw如此设计的目的是为了确保新的攻击工具包顺利逃过安全监测,以保持其恶意活动的隐蔽性。

黑客组织Outlaw更新攻击工具包,目标瞄准Linux和Unix系统

图3.rsync的当前变量(Shellbot)

分析表明,Shellbot允许攻击者通过从C&C服务器发送并运行的命令来控制僵尸网络。

黑客组织Outlaw更新攻击工具包,目标瞄准Linux和Unix系统

图4.连接到C&C服务器以发送当前控制变量

在来自C&C服务器的命令中,趋势科技发现了基于Android Package Kits-(APK-)和基于Android Debug Bridge(ADB)的命令,这些命令可以在基于安卓操作系统的电视机中启用加密货币挖矿活动:

黑客组织Outlaw更新攻击工具包,目标瞄准Linux和Unix系统

图5.tv.apk应用程序的XML文件

结语

自2018年首次被发现以来,Outlaw黑客组织就一直在开展恶意活动,且通常将一些已知的漏洞作为突破口。因此,想要避免受到来自Outlaw的攻击,及时安装补丁会是一种很好的主动防御措施。

为您推荐

Leave a Reply

Your email address will not be published.