俄罗斯人网集团使用简单但有效的Linux木马

被称为典当风暴的俄语俄罗斯原产地的云符组是用一个简单但有效的特洛伊木马程序感染Linux系统，该计划不需要高度特权访问。

典当风暴，也称为APT28，Sofacy或Sednit，是一群已自2007年以来一直活跃的攻击者。多年来，本集团已针对北约成员国的政府，安全和军事组织，以及国防承包商和媒体组织，乌克兰政治活动家和克里姆林宫批评者。

本集团以利用零天漏气而闻名 - 用于以前未知的漏洞 - 以及其他感染技术，如具有恶意附件的矛网络钓鱼电子邮件。其主要工具是一个名为SEDNIT的Windows后门程序，但该组还使用Mac OS X，Linux甚至移动操作系统的恶意软件程序。

根据安全公司Palo Alto Networks的研究人员，它的Linux的首选恶意软件工具是一个名为Fysbis的特洛伊木马程序。它具有模块化架构，允许攻击者根据需要将其功能扩展其功能，该插件被推到inpidual受害者。

“Fysbis可以在有或没有root特权的受害者系统中安装自己，”Palo Alto研究人员在博客帖子中表示。“这增加了一个对手可用的选项，当涉及到安装选择账户。”

作为Cyber​​SeteSemage工具，Fysbis主要用于数据被盗。因此，即使它没有增益控制整个系统，它仍然可以实现其窃取用户可以访问或间谍用户的网络浏览和其他活动的潜在敏感文档的主要目标。

帕洛阿尔托研究人员说，Fysbis表明，高级持久威胁（APT）演员通常不需要高级方法来实现其目标。

“尽管存在挥之不去的信念（和虚假的安全感），Linux固有地产生更高的恶意演员的保护程度，Linux恶意软件和漏洞确实存在，并且正在使用高级对手，”他们说。

实际上，在Windows占主导地位的大多数商业环境中，由于缺乏可见性和专业知识，检测到Linux恶意软件可能更加困难。因为这样的组织自然会专注于支持和保护他们的Windows系统。

这可能有助于解释为什么近年来许多攻击团体增加了Linux特洛伊木马对各自的武器，无论他们的动机是否是间谍或传统的网络犯罪。