البرامج الضارة "linux_avp"

تهديد 'linux_avp' عبارة عن برامج ضارة مكتوبة بلغة Golang ، وهي لغة مفتوحة المصدر ومتعددة المنصات أصبحت خيارًا شائعًا بشكل متزايد بين مجرمي الإنترنت. في محاولة لإضافة المزيد من تجنب الاكتشاف إلى إبداعاتهم التي تشكل تهديدًا ، كان المتسللون يبتعدون عن استخدام لغات البرمجة الأكثر شيوعًا.

تم تصنيف البرامج الضارة 'linux_avp' على أنها تهديد خلفي وتستهدف خوادم التجارة الإلكترونية Linux الضعيفة. وتجدر الإشارة إلى أن الباب الخلفي للبرامج الضارة "linux_avp" قد تم نشره على الخوادم المصابة بالفعل بمقشطة بطاقة الائتمان المكلفة بجمع معلومات بطاقات الائتمان والخصم للعملاء الذين يحاولون إجراء عمليات شراء على مواقع الويب المخترقة.

تم اكتشاف التهديد وتحليله من قبل شركة الأمن السيبراني الهولندية Sansec. وفقًا للنتائج التي توصلوا إليها ، يخفي "linux_avp" رمزه فورًا بعد تنفيذه ثم يفترض هوية عملية "ps -ef". ثم يتم استخدام العملية للحصول على قائمة بجميع العمليات التي تعمل على الجهاز. بعد ذلك ، سيبقى التهديد صامتًا في انتظار أوامر المهاجمين. يبدو أن خادم الأوامر والتحكم (C2 ، C&C) للعمليات هو خادم بكين الذي يتم استضافته على شبكة Alibaba.

سيؤسس الباب الخلفي أيضًا آلية ثبات عبر إدخال crontab جديد في النظام. يسمح لـ "linux_avp" بإعادة تنزيل حمولته من C2 وإعادة تثبيت نفسه في حالة اكتشافه وإزالته أو إعادة تشغيل الخادم.