'linux_avp' haittaohjelma

"Linux_avp" -uhka on haittaohjelma, joka on kirjoitettu Golangilla, avoimen lähdekoodin ja monialustaisella kielellä, josta on tulossa yhä suositumpi valinta kyberrikollisten keskuudessa. Yritetään lisätä havaitsemisen välttämistä uhkaaviin luomuksiinsa, hakkerit ovat siirtyneet pois yleisempien ohjelmointikielten käytöstä.

"linux_avp" Haittaohjelmat luokitellaan takaoven uhiksi ja ne kohdistuvat haavoittuviin Linux-verkkokauppapalvelimiin. On huomattava, että "linux_avp" -haittaohjelmien takaovi otettiin käyttöön palvelimilla, jotka olivat jo saastuttaneet luottokorttien kerääjällä, jonka tehtävänä oli kerätä luotto- ja pankkikorttitiedot asiakkailta, jotka yrittävät tehdä ostoksia vaarantuneilla verkkosivustoilla.

Uhan havaitsi ja analysoi hollantilainen kyberturvallisuusyhtiö Sansec. Heidän havaintojensa mukaan 'linux_avp' piilottaa kuvakkeensa heti suorituksen jälkeen ja ottaa sitten 'ps -ef' -prosessin identiteetin. Prosessia käytetään sitten luettelon saamiseksi kaikista koneessa käynnissä olevista prosesseista. Myöhemmin uhka pysyy hiljaa odottamassa hyökkääjien käskyä. Toiminnan Command-and-Control (C2, C&C) -palvelin näyttää olevan Pekingin palvelin, jota isännöidään Alibaban verkossa.

Takaovi perustaa myös pysyvyysmekanismin järjestelmän uuden crontab-merkinnän kautta. Sen avulla "linux_avp" voi ladata hyötykuormansa uudelleen C2:sta ja asentaa itsensä uudelleen, jos se havaitaan ja poistetaan tai palvelin käynnistetään uudelleen.