安全研究人員發(fā)現(xiàn)了一種新的Linux惡意軟件，似乎是中國黑客開發(fā)的，用于遠程控制受感染的系統(tǒng)。

該惡意軟件由用戶模式Rootkit、特洛伊木馬和初始部署腳本組成。

該惡意軟件的結構類似于最近發(fā)現(xiàn)的另一種Linux惡意軟件--Linux版本的Winnti，這是中國國家黑客使用的一種著名黑客工具。

在今天發(fā)表的一份技術報告中，InterzerLabs的安全研究員NachoSanmillan強調了Hidden黃蜂與其他Linux惡意軟件系列共享的幾個連接和相似之處，這表明一些Hidden黃蜂代碼可能已經(jīng)被借用了。

"我們發(fā)現(xiàn)了一些在稱為Azazel的開源rootkit中使用的環(huán)境變量，"三米倫說。

"此外，我們還看到了與其他已知的Chinaaz惡意軟件的共享字符串的高比率，增強了Hiddenasp背后的行為體可能集成和修改了可能在中國黑客論壇中共享的[the]el結[惡意軟件]中的一些MD5實施的可能性，"加入了研究人員。

此外，SanMillan還發(fā)現(xiàn)了Hidenwasp和中國開源rootkit之間的連接，該RootkitforLinux被稱為崇拜NG-NG，甚至還有一些代碼與MiraiIoT惡意軟件一起使用。

但是，雖然隱藏黃蜂可能不是第一個通過從其他項目中獲取代碼而組合在一起的惡意軟件菌株，但研究人員發(fā)現(xiàn)了其他有趣的線索，表明惡意軟件可能是在中國境外創(chuàng)建和操作的。

"我們觀察到，[Hiddenasp]文件被上載到Vizrustal，該路徑包含名為ShenZhouWangYunInformationTechnologyCo.,Ltd.的基于中國的取證公司的名稱。"三米倫說。

"此外,惡意軟件植入物似乎被托管在來自位于香港的Think夢想的物理服務器托管公司的服務器中,"說。

在接受ZDNet采訪時，Sanmillan說，他無法發(fā)現(xiàn)黑客是如何傳播這種新的惡意軟件病毒的，盡管這位研究人員對此有自己的想法。

"不幸的是，我不知道什么是最初的感染向量，"三米倫告訴我們."基于我們的研究，這種惡意軟件很可能被攻擊者所控制的受損系統(tǒng)中使用。"

黑客似乎使用其他方法危害Linux系統(tǒng)，然后將Hidenwasp部署為第二級有效載荷，它們用于遠程控制已感染的系統(tǒng)。

根據(jù)SanMillan的說法，Hidden黃蜂可以與本地文件系統(tǒng)交互;上傳、下載和運行文件;運行終端命令;以及更多。

"從我們的研究看來，它看起來像是來自目標攻擊的植入物，"桑米蘭告訴ZDNET."很難說它是由[A]國家贊助的攻擊者或其他人使用的，但它絕對不是通常的DDoS/挖掘惡意軟件，以獲得快速的利潤。"

難題在于知道誰開發(fā)了該工具以及誰在攻擊期間使用了它。 SanMillan已發(fā)布折衷指標和Yara規(guī)則，通過使用這些指標，公司可以調查和檢測Hidenwasp的所有感染。