'linux_avp' Вредоносное ПО

Угроза linux_avp - это вредоносное ПО, написанное на Golang, кроссплатформенном языке с открытым исходным кодом, который становится все более популярным среди киберпреступников. Пытаясь добавить к своим угрожающим творениям повышенную защиту от обнаружения, хакеры отказываются от использования более распространенных языков программирования.

'linux_avp' Вредоносное ПО классифицируется как бэкдор-угроза и нацелено на уязвимые серверы электронной коммерции Linux. Следует отметить, что бэкдор вредоносного ПО linux_avp был развернут на серверах, уже зараженных скиммером кредитных карт, задачей которого был сбор информации о кредитных и дебетовых картах клиентов, пытающихся совершить покупки на взломанных веб-сайтах.

Угроза была обнаружена и проанализирована голландской компанией по кибербезопасности Sansec. Согласно их результатам, «linux_avp» скрывает свой значок сразу после выполнения, а затем принимает идентичность процесса «ps -ef». Затем процесс используется для получения списка всех процессов, запущенных на машине. После этого угроза будет молчать, ожидая приказа от нападающих. Сервер Command-and-Control (C2, C&C) операций выглядит пекинским сервером, который размещен в сети Alibaba.

Бэкдор также установит механизм персистентности через новую запись crontab в системе. Это позволяет linux_avp повторно загружать полезную нагрузку с C2 и переустанавливать себя в случае обнаружения и удаления или перезапуска сервера.