近期， AnubisBackdoor 頻繁出現(xiàn)。這是一個基于 Python 的后門程序，其幕后黑手是 Savage Ladybug 組織。據(jù)報道，該組織與臭名昭著的 FIN7 網(wǎng)絡(luò)犯罪團伙存在關(guān)聯(lián)。

此惡意軟件的目的在于提供遠程訪問權(quán)限、執(zhí)行命令以及推動數(shù)據(jù)泄露，與此同時，還能躲避大多數(shù)防病毒解決方案的檢測。

技術(shù)分析

AnubisBackdoor 是網(wǎng)絡(luò)犯罪集團所開發(fā)和部署的復(fù)雜惡意軟件工具這一廣泛趨勢中的一部分。與主要針對具備銀行木馬功能的 Android 設(shè)備的 Anubis 惡意軟件有所不同，AnubisBackdoor 專門用于在其他平臺上執(zhí)行遠程命令并入侵系統(tǒng)。它采用了較為溫和的混淆技術(shù)，致使許多安全工具完全無法對其進行檢測（FUD）。這種高度的隱秘性使得威脅行為者能夠在惡意垃圾郵件活動中有效地運用它，進而對系統(tǒng)造成更大危害并竊取敏感數(shù)據(jù)。

Savage Ladybug 組織對 AnubisBackdoor 的運用，凸顯出像 FIN7 這類網(wǎng)絡(luò)犯罪集團不斷演變的策略。FIN7 等集團向來以先進的逃避技術(shù)和工具開發(fā)而聲名狼藉。FIN7，也被稱作 Carbanak，自 2013 年起便活躍于網(wǎng)絡(luò)，并且使用了一系列工具，其中包括 Carbanak 后門以及 AvNeutralizer 工具，這些工具旨在禁用端點檢測和響應(yīng)（EDR）解決方案。AnubisBackdoor 的開發(fā)與部署表明，這些組織持續(xù)創(chuàng)新并調(diào)整自身策略，以逃避檢測并將攻擊的影響力最大化。

攻擊指標（IOC）

根據(jù)相關(guān)報告，為了抵御 AnubisBackdoor，建議安全團隊監(jiān)控特定的入侵指標（IOC），其中包括后端服務(wù)器 IP 地址，例如 38.134.148.20、5.252.177.249、212.224.107.203 以及 195.133.67.35。此外，諸如 03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f 和 5203f2667ab71d154499906d24f27f94e3ebdca4bba7fe55fe490b336bad8919 之類的文件哈希，也應(yīng)標記出來，以防潛在的惡意活動。

隨著威脅形勢的持續(xù)演變，對于各組織而言，通過實施強大的檢測和響應(yīng)策略來應(yīng)對此類復(fù)雜的惡意軟件威脅，從而增強自身安全態(tài)勢至關(guān)重要。

參考及來源：https://gbhackers.com/fully-undetected-anubis-malware-enables-hackers/