安全公司Intezer Labs研究人员发现一种新的Linux恶意软件EvilGnome,其瞄准的对象是Linux桌面用户,EvilGnome会伪装Gnome壳层扩展,但实际上为Linux后门植入程序,偷偷地上传屏幕截屏或是文件等私密数据,目前主要的安全解决方案都无法侦测到EvilGnome,研究人员提到,这个恶意软件可能与俄国的APT(Advanced Persistent Threat)攻击集团Gamaredon有关。
这个恶意软件的特殊之处在于瞄准的群体,是Linux的桌面用户,研究人员提到,过去在Linux上发现的恶意程序,通常是加密矿工或是DDoS僵尸网络工具等,这类瞄准服务器的攻击工具,毕竟Linux服务器占总Linux使用组成的70%,而桌面操作系统仅只有2%。
EvilGnome会伪装成知名桌面环境GNOME的扩展,进行桌面截屏、窃取文件,并从麦克风截取录音,还能自行下载其他模块扩展功能。EvilGnome带有5个模块,ShooterSound模块会截取用户麦克风声音,ShooterImage模块则会截取屏幕截屏,而ShooterFile模块负责扫描文件系统中的新文件,这些模块收集到的文件,都会被上传到指挥与控制服务器(C2),另外还有ShooterPing模块能接受新命令,每个模块都使用独立的线程运行。
这些模块与C2服务器间数据传输,都会加密以躲避基本的流量扫描。研究人员提到,这个被上传到网络安全分析服务VirusTotal上(下图)的后门植入程序,感觉是一个测试版,因为其中包含了未完成的键盘侧录模块ShooterKey,以及程序注解以及编译元数据,而这些元数据通常不应该出现在正式生产版本中。
研究人员还发现,EvilGnome与俄罗斯黑客集团Gamaredon有关,EvilGnome使用的主机供应商与Gamaredon一直以来使用的相同,EvilGnome的C2服务器的IP位置,与Gamaredon使用的域名相关联,而在基础设施上,EvilGnome的C2服务器使用连接端口3436提供SSH服务,而Gamaredon正在运行的C2服务器,也使用连接端口3436提供SSH服务。
由于Gamaredon习惯不使用任何已被发现的Linux植入程序,因此研究人员也无从进行直接的比对,因此只能从这些较高端的特征判断观察。Gamaredon从2013年来一直就非常活跃,专针对与乌克兰政府相关的人进行攻击,会使用恶意附件感染受害者,而Gamaredon的植入程序的特性,包括使用信息窃取工具SFX,偷取屏幕截屏或是文件,这项特性也有在EvilGnome上被发现。
Intezer Labs建议用户可以检查~/.cache/gnome-software/gnome-shell-extensions目录,看是否存在名为gnome-shell-ext的可执行文件,以确认是否遭到感染,Intezer Labs也创建了自定义的YARA规则,供用户检测EvilGnome未来的变体。