中文黑客利用新型Linux恶意软件进行间谍活动

关键要点

中国国家支持的黑客组织Gallium也称为Alloy Taurus正在针对南非和尼泊尔的Linux系统展开攻击。新发现的PingPull恶意软件变种被认定为Windows恶意软件的移植。该恶意软件仅被62款杀毒软件中的3款检测到，具备文件、文件夹删除、文本文件读写、目录创建及命令执行等功能。此外，Gallium还利用了两种新的Sword2023 ELF后门进行攻击，其中一种后门模仿南非军事机构的C2地址。

最近的报道称，中国国家支持的威胁组织Gallium利用更新版的PingPull恶意软件和新型的Sword2033进行针对Linux系统的攻击，目标主要是南非和尼泊尔。Unit 42的研究人员发现，Gallium的新PingPull恶意软件是Windows恶意软件的移植，表明其具有类似的HTTP通信结构、AES密钥、指挥与控制服务器命令和POST参数。

该恶意软件接收的命令功能多样，能够进行文件或文件夹删除、文本文件的读写、目录创建以及命令执行等操作。截至目前，这种恶意软件仅被三款杀毒软件检测到，其余59款未能识别。

此外，Gallium还利用了两种Sword2023 ELF后门进行网络攻击。其中，第一种后门功能相对简单，主要包括文件外泄、文件上传以及命令执行能力。然而，研究人员注意到，攻击者在第二种Sword2023样本中使用了不同的C2地址，意图伪装成南非军事机构以增强隐蔽性。

以下是关于Gallium的攻击方式的总结：

新的Linux恶意软件变种被用于中国网络间谍活动恶意软件名称主要功能被检测到的杀毒软件数量PingPull文件删除、读写文本、创建目录、执行命令3/62Sword2023 (样本1)文件外泄、文件上传、执行命令未知Sword2023 (样本2)伪装南非军事机构的C2地址未知