研究人員發現了一個前所未見的 Linux 後門,該門正被與中國政府有關的威脅者所使用。
新後門源自名為 Trochilus 的 Windows 後門,Arbor Networks(現稱為 Netscout)的研究人員於 2015 年首次發現該後門。他們表示 Trochilus 僅在記憶體中執行和運行,大多數情況下最終的有效負載從未出現在磁碟上。這使得惡意軟體難以檢測。英國 NHS Digital 的研究人員表示 Trochilus 是由 APT10 開發的,APT10 是一個與中國政府有聯繫的高級持續威脅組織,也被稱為 Stone Panda 和 MenuPass。
其他團體最終也使用了它,其原始碼已經在 GitHub 上發布了六年多。Trochilus 被發現被用於使用名為 RedLeaves 的獨立惡意軟體的活動中。6 月,安全公司趨勢科技的研究人員在一台伺服器上發現了一個加密的二進位文件,已知該文件被他們自2021 年以來一直在追蹤的組織使用。透過在VirusTotal 中搜尋檔案名稱libmonitor.so .2,研究人員找到了名為「mkmon」的可執行 Linux 檔案。這個可執行檔包含可用於解密 libmonitor.so.2 檔案並恢復其原始有效負載的憑證,這使得研究人員得出結論:「mkmon」是一個提供並解密 libmonitor.so.2 的安裝檔。
