EvilGnome：一种新的后门植入物，用于监视Linux桌面用户

众所周知，与Windows病毒相比，在野外存在的Linux恶意软件种类很少，这是因为它的核心架构和市场份额较低，而且其中许多甚至没有广泛的功能。

近年来，即使在各种不同风格的Linux操作系统和软件中暴露出严重的关键漏洞之后，网络犯罪分子仍未能利用其中大部分进行攻击。

取而代之的是，大量针对Linux生态系统的恶意软件主要集中在为获取经济利益而进行的加密货币挖掘攻击，以及通过劫持易受攻击的服务器来创建DDoS僵尸网络。

然而，安全公司Intezer Labs的研究人员最近发现了一种新的Linux后门植入物，该植入物似乎正在开发和测试阶段，但已经包含了几个用于监视Linux桌面用户的恶意模块。

EvilGnome：新的Linux间谍软件

邪恶侏儒，该恶意软件被设计用于截取桌面截图、窃取文件、从用户的麦克风捕获音频记录，以及下载和执行进一步的第二阶段恶意模块。

根据Intezer Labs在发布前与《黑客新闻》分享的一份新报告，它在VirusTotal上发现的EvilGnome样本还包含一个未完成的键盘记录功能，这表明它是被开发者错误地上传到网上的。

EvilGnome恶意软件将自己伪装成合法的GNOME扩展，该程序允许Linux用户扩展桌面的功能。

根据研究人员的说法，植入物是以自解压归档shell脚本的形式交付的，该脚本是用“makeself”创建的，这是一个小shell脚本，可以从目录中生成一个自解压压缩tar归档文件。

与windows任务调度器类似，Linux植入还使用crontab在目标系统上获得持久性，并将窃取的用户数据发送到远程攻击者控制的服务器。

研究人员说：“持久性是通过注册gnome-shell-ext.sh在crontab中每分钟运行一次来实现的。最后，脚本执行gnome-shell-ext.sh，然后启动主要的可执行文件gnome-shell-ext。”。

EvilGnome的间谍软件模块

EvilGnome的间谍代理包含五个名为“射手”的恶意模块，如下所述：

• 枪声— 该模块使用PulseAudio从用户的麦克风捕获音频，并将数据上传至操作员的命令和控制服务器。
• 射击图像— 本模块使用Cairo开源库捕获屏幕截图，并将其上传至C&amp；C服务器。它通过打开到XOrg显示服务器的连接来实现，XOrg显示服务器是Gnome桌面的后端。
• 射手座— 该模块使用过滤器列表扫描文件系统中新创建的文件，并将其上载到C&amp；C服务器。
• 射击— 该模块接收来自C&amp；C服务器，如下载和执行新文件，为文件扫描设置新过滤器，下载并设置新的运行时配置，将存储的输出导出到C&amp；并停止任何shooter模块的运行。
• 射手— 该模块未实现且未使用，很可能是一个未完成的密钥记录模块。

值得注意的是，上述所有模块都对其输出数据进行加密，并对从C&amp；C服务器，带有RC5密钥“sdg62_AS.sa$die3”，使用俄罗斯开源库的修改版本。

可能与EvilGnome和Gamaredon黑客集团有联系

此外，研究人员还发现了EvilGnome和Gamaredon Group之间的联系。Gamaredon Group是一个据称是俄罗斯威胁组织，自2013年以来一直活跃，目标是与乌克兰政府合作的个人。

下面，我简要介绍了EvilGnome和Gamaredon Group之间的一些相似之处：

• EvilGnome使用的托管服务提供商已被Gamaredon Group使用多年，并继续被其使用。
• 两个月前，EvilGnome还被发现在Gamaredon集团控制的IP地址上运行。
• 邪恶侏儒攻击者也在使用“。空间的TTLD，就像Gamaredon集团一样。
• Evignome采用技术和模块—；比如SFX的使用，任务调度器的持久性，以及信息窃取工具的部署—；这让人想起了Gamaredon Group的Windows工具。

如何检测EvilGnome恶意软件？

要检查Linux系统是否感染了EvilGnome间谍软件，可以在“~/.cache/gnome software/gnome shell extensions”目录中查找“gnome shell ext”可执行文件。

研究人员总结道：“我们认为这是一个过早的测试版本。我们预计未来会发现和审查新版本，这可能会为该组织的运作提供更多信息。”。

由于安全和防病毒产品目前无法检测到EvilGnome恶意软件，研究人员建议担心的Linux管理员阻止该命令&amp；控制Intezer博客文章IOC部分列出的IP地址。