PaloAlto惡意軟件研究員發(fā)現(xiàn)了一個名為Fysbis的木馬，是俄羅斯政府支持的網(wǎng)絡(luò)間諜組織Pawn Storm所使用的一個簡單而有效的Linux木馬。

還記得Pawn Storm黑客組織嗎？其實它有很多名稱，APT28、Sofacy、Sednit等都是這個組織的名字，據(jù)推斷它至少從2007年就開始活躍了。而Pawn Storm這個名字是安全專家特指的一個大規(guī)模經(jīng)濟(jì)政治網(wǎng)絡(luò)間諜行動，它的目標(biāo)往往是軍事、政府、媒體等。Pawn Storm組織在2015年第一季度有大量的活動，建立了大量的exploit URL和新的C&C服務(wù)器，用于攻擊NATO成員國和歐洲、亞洲、中東政府。

攻擊目標(biāo)

具體目標(biāo)包括：

1. 軍事機(jī)構(gòu)、大使館、美國國防部門及其附屬機(jī)構(gòu)

2. 俄羅斯政府的反動派和政見不和者

3. 國際媒體機(jī)構(gòu)

4. 美國國安局及其附屬機(jī)構(gòu)

Pawn Storm APT組織被認(rèn)為是一個高度復(fù)雜的黑客組織，其兵工廠中有大量的0day exp。該組織會根據(jù)不同的操作系統(tǒng)使用不同的惡意軟件，例如使用專門感染Apple iOS設(shè)備的移動間諜軟件。在其使用的那么多工具中，其中最臭名昭著的是一個名為Sednit的Windows后門。

而現(xiàn)在，這個強(qiáng)大的組織又再次出現(xiàn)在我們的視線中，目標(biāo)轉(zhuǎn)向了Linux系統(tǒng)，借助Fysbis木馬感染系統(tǒng)。攻擊者利用Fysbis木馬無需較高的權(quán)限就能訪問受害者系統(tǒng)。

“Fysbis木馬曾是Sofacy專用的工具，盡管其不是特別復(fù)雜，但對于Linux來說仍然是一個很大的威脅。Fysbis是一個模塊化的Linux木馬（后門），核心組件是一組插件和控制器模塊。該惡意軟件包括32字節(jié)和64字節(jié)版本的可執(zhí)行和鏈接形式（ELF）二進(jìn)制。另外，不管有沒有root權(quán)限，F(xiàn)ysbis都能將自己安裝在受害者系統(tǒng)上。”

Fysbis木馬的目的是泄露受害者系統(tǒng)上的敏感文件，監(jiān)視用戶的網(wǎng)上行為。PaloAlto Networks 42部門的安全專家發(fā)現(xiàn)APT組織有重新使用以往的命令控制基礎(chǔ)設(shè)施的趨勢，通過對Fysbis木馬的分析就能證明這一點。

Linux木馬的出現(xiàn)并不意外，因為Linux操作平臺上包含數(shù)據(jù)中心、企業(yè)云基礎(chǔ)構(gòu)架、應(yīng)用服務(wù)器。另外，Linux還是安卓設(shè)備和許多其他嵌入式系統(tǒng)的核心。