安全公司發現瞄準Linux桌面用戶後門程序EvilGnome

安全公司Intezer Labs研究人員發現一種新的Linux惡意軟體EvilGnome，其瞄準的對象是Linux桌面用戶，EvilGnome會偽裝Gnome殼層擴展，但實際上為Linux後門植入程序，偷偷地上傳屏幕截屏或是文件等私密數據，目前主要的安全解決方案都無法偵測到EvilGnome，研究人員提到，這個惡意軟體可能與俄國的APT（Advanced Persistent Threat）攻擊集團Gamaredon有關。

這個惡意軟體的特殊之處在於瞄準的群體，是Linux的桌面用戶，研究人員提到，過去在Linux上發現的惡意程序，通常是加密礦工或是DDoS殭屍網路工具等，這類瞄準伺服器的攻擊工具，畢竟Linux伺服器佔總Linux使用組成的70％，而桌面操作系統僅只有2％。

EvilGnome會偽裝成知名桌面環境GNOME的擴展，進行桌面截屏、竊取文件，並從麥克風截取錄音，還能自行下載其他模塊擴展功能。EvilGnome帶有5個模塊，ShooterSound模塊會截取用戶麥克風聲音，ShooterImage模塊則會截取屏幕截屏，而ShooterFile模塊負責掃描文件系統中的新文件，這些模塊收集到的文件，都會被上傳到指揮與控制伺服器（C2），另外還有ShooterPing模塊能接受新命令，每個模塊都使用獨立的線程運行。

這些模塊與C2伺服器間數據傳輸，都會加密以躲避基本的流量掃描。研究人員提到，這個被上傳到網路安全分析服務VirusTotal上（下圖）的後門植入程序，感覺是一個測試版，因為其中包含了未完成的鍵盤側錄模塊ShooterKey，以及程序註解以及編譯元數據，而這些元數據通常不應該出現在正式生產版本中。

研究人員還發現，EvilGnome與俄羅斯黑客集團Gamaredon有關，EvilGnome使用的主機供應商與Gamaredon一直以來使用的相同，EvilGnome的C2伺服器的IP位置，與Gamaredon使用的域名相關聯，而在基礎設施上，EvilGnome的C2伺服器使用連接埠3436提供SSH服務，而Gamaredon正在運行的C2伺服器，也使用連接埠3436提供SSH服務。

由於Gamaredon習慣不使用任何已被發現的Linux植入程序，因此研究人員也無從進行直接的比對，因此只能從這些較高端的特徵判斷觀察。Gamaredon從2013年來一直就非常活躍，專針對與烏克蘭政府相關的人進行攻擊，會使用惡意附件感染受害者，而Gamaredon的植入程序的特性，包括使用信息竊取工具SFX，偷取屏幕截屏或是文件，這項特性也有在EvilGnome上被發現。

Intezer Labs建議用戶可以檢查~/.cache/gnome-software/gnome-shell-extensions目錄，看是否存在名為gnome-shell-ext的可執行文件，以確認是否遭到感染，Intezer Labs也創建了自定義的YARA規則，供用戶檢測EvilGnome未來的變體。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！