瞄准Linux平台的恶意软件HiddenWasp现身

资安公司Intezer发现了一种名为HiddenWasp的恶意软件，让黑客得以远端控制受感染的系统，HiddenWasp专门感染Linux平台，由使用者模式Rootkit、木马以及初始部署脚本组合而成，研究人员表示，这个恶意软件疑似由中国黑客创造。

Intezer指出，HiddenWasp与其他常见的Linux恶意软件不同，HiddenWasp目的不是将用户的计算机变成矿机开采加密货币，或是进行DDoS攻击，而是单纯用于远端控制。HiddenWasp可以操作本机档案系统，上传、下载并执行档案，执行终端命令等动作。

HiddenWasp组成复杂，作者从各种公开可用的开源恶意软件中，像是Mirai和Azazel rootkit等项目借来大量程序码，并且与其他中国恶意软件存在一些相似之处，特别是与近期Alphabet旗下的资安子公司Chronicle，发现的Winnti恶意程序Linux变种类似，而这个Winnti变种则是中国黑客的著名工具。

虽然有不少恶意软件也会拼凑使用来自于其他项目的程序码，但研究人员从中找到一些线索，发现HiddenWasp与名称为Adore-ng的Linux中文开源Rootkit存在一些关联，而且虽然HiddenWasp可能由中国黑客开发，但是恶意软件本身却是在中国境外创建与营运，有趣的是HiddenWasp档案曾被上传至恶意软件分析网站VirusTotal中，使用的路径包含了一间中国鉴识公司的名字。

HiddenWasp的植入载体（Implant）被托管在ThinkDream位于香港的服务器中，研究人员提到，HiddenWasp是整个攻击手法的第二阶段工具，用来感染受害者已经受损的系统，他们无法得知黑客传播HiddenWasp的方法。现在有证据显示，可能已经有受害者受到HiddenWasp控制，且进行过大规模侦查活动，目前HiddenWasp正处于活跃的状态，而且所有主要的防毒软件都检测不出来。

研究人员提到，HiddenWasp看起来是有针对性的恶意软件，但无法肯定是受到国家资助的攻击计划，但可以确定的是，HiddenWasp的目的，不是执行挖矿或是DDoS攻击这种可以快速获取利润的短期目标。

要防止Linux系统受到HiddenWasp的攻击，可以封锁Intezer提供的C&C IP位置，而他们也提供了YARA规则，让系统检测在存储器中执行的程序是否包含HiddenWasp植入载体。另外，研究人员也提供了一个快速检查系统是否遭到感染的方法，就是搜寻系统中的ld.so文件，当系统中不存在任何包含/etc/ld.so.preload字符串的文件，则系统可能受到感染，因为HiddenWasp的植入载体会对ld.so实例进行补丁，以便从任意位置执行LD_PRELOAD机制。