-
营销与经营深度一体,巨量引擎助力品牌撬动全渠道增长
发布时间:2024/01/30
过去十年,中国企业在数字营销上的投入快速增长。根据eMarketer的数据,2023年国内数字广告的投入将达到1361亿美元,增长14.8%。数字营销已经成为品牌方最大的经营成本之一。面对如此巨大的投入,品牌方的管理层...
-
路特斯TYPE 136于广州车展正式上市 首批铂金限量版开启发售
发布时间:2023/11/18
【中国广州,2023年11月18日】承袭赛道基因,铸就破风典范。近日,路特斯携旗下全球首台灵活动力公路自行车TYPE 136于广州车展荣耀上市,并正式开启限量发售。首批车主将升级铂金限量版,全球仅发售136台。路特斯...
-
助力蔗糖产业长足发展!招商期货参与的孟连县白糖“保险+期货”试点项目启动
发布时间:2022/11/23
11月4日,招商期货有限公司(以下称“招商期货”)参与的郑商所2022年孟连县白糖“保险+期货”试点项目在孟连县举行启动仪式,本次项目由招商期货与光大期货、中信建投期货、中国人寿财产保险股份有限公司云南省分公...
-
门窗行业复刻定制家居高光时刻,森鹰窗业上市成起点?
发布时间:2022/09/25
据悉,9月26日,森鹰窗业股份有限公司(以下简称森鹰窗业)将举办上市敲钟仪式,正式登陆深交所。 森鹰窗业是目前沪深两市第一家细分行业为“C2032木门窗制造”的上市公司。 这让笔者不禁想起2011年定制家居行业首...
-
第三批专项债六月底发完 项目完成审核
发布时间:2020/04/06
财政部副部长许宏才4月3日在新闻发布会上表示,今年以来,根据全国人大常委会授权,财政部提前下达了2020年部分新增专项债券额度12900亿元。截至2020年3月31日,全国各地发行新增专项债券1.08万亿元,占84%,发行...
-
国美零售转型加速 携拼多多“迎战”零售业大考
发布时间:2020/04/06
随着国内疫情初步得到控制,零售消费市场也在逐渐恢复运转。日前,国务院联防联控机制举办新闻发布会。商务部消费促进司负责人王斌在会上指出,将千方百计促进消费回补和潜力释放,壮大新型消费和升级消费,扩大...
-
美新冠疫情蔓延,建霖家居等IPO企业受累
发布时间:2020/04/06
编者按: 随着疫情蔓延,全球新冠肺炎确诊病例已突破百万,累计死亡超5万例,其中,美国确诊超过23万例,欧洲确诊超过50万例。作为全球经济重要力量的欧美地区,其疫情将对IPO企业产生什么影响? “有一天美国将成...
-
信托代销哪家强?招行去年赚64亿
发布时间:2020/04/04
证券时报记者 杨卓卿 随着银行年报密集披露,一些行业巨头代销信托产品的情况也浮出水面。 证券时报记者注意到,“零售之王”招商银行2019年代销的信托产品规模超过3000亿元,借此实现64.32亿元的手续费及佣金收入...
新的EvilGnome后门间谍Linux用户,窃取他们的文件
发布时间:2019/07/18 商业 浏览次数:793
7月初,Intezer Labs的研究人员发现了一种新的Linux恶意软件伪装成Gnome shell扩展,旨在监视毫无疑问的Linux桌面用户。
目前,VirusTotal上的任何反恶意软件引擎都没有检测到被称为EvilGnome的后门植入物[1,2,3],并且它具有Linux恶意软件中很少见到的几种功能。
“EvilGnome的功能包括桌面截图,文件窃取,允许从用户麦克风捕获录音以及下载和执行更多模块的能力,”Intezer研究人员发现。
“植入物包含未完成的键盘记录功能,注释,符号名称和编译元数据,通常不会出现在生产版本中。”
通过自解压档案感染
EvilGnome是在使用makeself shell脚本创建的自解压存档的帮助下提供的,其中包含在其标题中捆绑的恶意有效负载存档时生成的所有元数据,可能是错误的。
感染是在自执行有效负载的标头中留下的自动运行参数的帮助下自动进行的,该自动运行参数指示它启动setup.sh,将恶意软件的间谍代理添加到〜/ .cache / gnome-software / gnome- shell-extensions /文件夹,试图潜入受害者的系统伪装成Gnome shell扩展。
可自提取的有效负载元数据
EvilGnome还会将一个gnome-shell-ext.sh shell脚本添加到受损的Linux机器的crontab中,该脚本旨在检查间谍软件代理是否仍在运行的每一分钟。
gnome-shell-ext.sh在感染过程的最后阶段执行,导致gnome-shell-ext间谍软件代理也被启动。
EvilGnome的配置存储在rtp.dat文件中,该文件也捆绑在可自提取的有效负载存档中,它允许后门获取其命令和控制(C2)服务器的IP地址。
具有间谍软件功能的多个后门模块
恶意软件带有五个模块,每个模块都设计为在一个单独的线程中运行,并且“对共享资源(例如配置)的访问受到互斥锁的保护。”
在分析EvilGnome后门植入物时,Intezer Labs发现了以下模块:
•ShooterAudio – 从用户的麦克风捕获音频并上传到C2
•ShooterImage – 捕获屏幕截图并上传到C2
•ShooterFile – 扫描文件系统以查找新创建的文件,并将它们上传到C2
•ShooterPing – 从C2接收新命令,泄露数据,可以下载和执行新的有效负载
•ShooterKey – 未实现和未使用,很可能是未完成的键盘记录模块
发送到恶意软件C2服务器和从恶意软件C2服务器发送的所有流量都由EvilGnome使用RC5对称分组密码加密和解密,并使用相同的密钥借助RC5Simple开源库的变体。
如果无法与他们的C2服务器通信,Intezer研究人员分析的恶意软件样本将他们的所有输出和被盗数据存储在受感染的〜/ .cache / gnome-software / gnome-shell-extensions / tmp /文件夹中Linux盒子。
EvilGnome模块
与俄罗斯Gamaredon集团的联系
根据Palo Alto Networks的42号威胁研究人员的说法,EvilGnome似乎与被称为Gamaredon Group的俄罗斯威胁组织有关,Gamaredon Group是一个已知至少自2013年以来一直活跃的高级持续威胁(APT)组织。
虽然最初Gamaredon Group主要依靠现成的工具,但在增加技术专长后,它已慢慢转向开发自定义恶意软件植入物。
EvilGnome恶意软件开发人员和Gamaredon集团通过使用与Intezer研究人员发现的相同的托管服务提供商连接,以及EvilGnome使用连接到与俄罗斯威胁组相关的域的C2服务器。
两者还使用3436端口通过SSH连接到他们的C2服务器,“两个额外的服务器的域名类似于Gamaredon域的命名模式(使用.space TTLD和ddns)”,研究人员在EvilGnome的指导下找到C2主机提供商。
在EvilGnome C2和Gamaredon服务器上打开SSH端口
最后但并非最不重要的是,虽然Gamaredon Group并未开发或使用任何Linux恶意软件植入,但EvilGnome Linux后门使用的模块和技术,例如“SFX的使用,任务调度程序的持久性和信息窃取工具的部署” “匹配俄罗斯黑客组织使用的那些。
Intezer的研究团队在他们的EvilGnome分析结束时提供了一份妥协指标(IOC)列表,包括Linux后门植入与Gamaredon Group开发的其他工具共享的恶意软件样本哈希和IP地址/域。