Bootkitty:针对Linux系统的首个UEFI启动工具包分析

2024-11-29

ESET研究人员分析了第一个针对Linux系统设计的UEFI启动工具包Bootkitty。该启动工具包尚处于概念验证阶段,尚未在野外发现。它的主要目标是禁用内核的签名验证功能,并通过Linux init进程预加载两个ELF二进制文件。Bootkitty通过修改GRUB引导加载程序和Linux内核的EFI存根加载程序来实现此目的。研究人员还发现了一个可能相关的未签名内核模块BCDropper,它会部署一个负责加载另一个内核模块的ELF程序。尽管Bootkitty目前仅支持有限数量的系统,但它的存在凸显了UEFI启动工具包不再局限于Windows系统这一事实。

阅读更多
未分类 Bootkit

揭露狼毒:与Gelsemium针对Windows的Gelsevirine对应的Linux版本

2024-11-22

ESET研究人员分析了此前未知的Linux后门程序WolfsBane,该程序与中国APT组织Gelsemium使用的已知Windows恶意软件以及Project Wood有关联。WolfsBane是Gelsevirine的Linux版本,而另一个后门FireWood则与Project Wood相关,但与Gelsemium的关联度较低。这些后门和工具的目标是网络间谍活动,窃取系统信息、用户凭据和特定文件等敏感数据。研究人员认为,APT组织对Linux恶意软件的关注日益增加,这可能是由于Windows电子邮件和终端安全性的改进,迫使攻击者转向利用面向互联网的Linux系统漏洞。

阅读更多

警惕“断网”攻击:ESET揭秘GoldenJackal间谍组织入侵欧洲政府机构

2024-10-09

本文介绍了网络间谍组织GoldenJackal针对欧洲政府机构发起的网络攻击。该组织自2019年以来一直活跃,主要针对欧洲、中东和南亚的政府和外交机构。ESET研究人员分析了该组织使用的两种用于入侵“断网”系统的工具集,发现GoldenJackal利用定制工具,通过USB驱动器、电子邮件、云存储等多种方式窃取机密信息,并使用多种技术手段隐藏攻击痕迹。ESET的安全专家们还提供了相关的技术分析、指标和缓解措施,以帮助组织防御此类攻击。

阅读更多
未分类 APT攻击