新型Linux变种PingPull恶意软件的威胁

关键信息概述

根据最新报道，中国高级持续性威胁(APT)组织Alloy TaurusGallium所使用的PingPull恶意软件的新Linux变种，已被认定为对东南亚、欧洲和非洲的电信、金融及政府组织的潜在威胁。Unit 42安全团队在其4月26日的博客文章中表示，他们在监测APT组织用于PingPull Linux变种的基础设施时，还发现了名为Sword2033的另一种后门。

根据Unit 42的研究，PingPull恶意软件的首次样本可追溯至2021年9月。在监测其在多个活动中的使用后，该团队在6月份发布了研究成果，并将其归因于Alloy Taurus。研究人员指出，该中国APT组织自2012年起便开始活跃。

截至4月26日，Unit 42的报告显示，在62家厂商中，有三家将Linux变种的PingPull恶意软件样本认定为恶意。这一判定基于HTTP通信结构、POST参数、AES密钥和C2命令的匹配，详细信息在博客中列出。研究人员还发现，Sword2033作为一个简单的后门，执行如下操作： 上传文件到系统#up 从系统下载文件#dn 执行命令，并在运行前进行附加exc /c

Tanium的首席安全顾问Timothy Morris表示，中国威胁演员通常使用APT进行间谍活动，这与其他以经济利益为动机的犯罪团伙或国家行为者不同。不过，这并不意味着他们无法将恶意软件用于其他恶意目的。

Morris指出：“像其他恶意软件一样，这种恶意软件具有非常全面的指挥和控制功能，技术上非常熟练，利用了混淆策略和IPv6，这使其难以被检测。”他还提到使用的三种变体TCP、HTTPs和ICMP增强了其灵活性和隐蔽性。Unit 42已经提供了若干IOC指标以帮助检测该恶意软件。

Coalfire的副总裁Andrew Barratt补充到，虽然这种恶意软件的具体情况相对明确，但从宏观层面看，它表明商业社区需要更加仔细地监控利用非Windows系统如Linux的攻击。Barratt指出，由于使用公共云编排工具轻松部署Linux工作负载，这可能使得技术对不太有经验的系统管理员更加容易接触，而这些管理员可能会忽视恶意软件的迹象而无意中犯错。

Barratt说：“这也显示了对你系统‘外发’流量的重要关注。许多组织由于遗留应用或不愿意进行分析，导致其外发过滤非常薄弱。这使恶意软件能够建立其指挥和控制渠道，然后赋予入侵者价值。PingPull利用ICMP流量隐藏，而这种协议家族主要用于故障排除因此，它仍然不应该在网络中拥有绝对自由。对外发管理的相对小额投资，通常可以从安全角度获得巨大的回报。”

Inversion6的首席信息安全官Craig Burland同意，安全团队必须更加关注Linux系统。Burland表示，虽然企业已制定了有效的流程来保护其Windows基础设施，但在很大程度上忽视了Linux和嵌入式Linux，这造成了黑客可以轻易利用的弱点。

Burland提到：“从应用服务器到网络设备，Linux无处不在。它需要与Windows同样的关注和纪律，以保持安全和支持。希望组织能够看到这一威胁，并迅速扩大其补丁程序的规模。