SophosLabs 发现了一种名为 Cloud Snooper 的复杂攻击,该攻击利用了独特的技术组合,允许恶意软件通过防火墙自由地与其命令和控制 (C2) 服务器通信。这种攻击的复杂性和定制 APT 工具集的使用使研究人员有理由相信恶意软件及其运营商是高级威胁行为者,可能是国家赞助的。受影响的系统同时运行 Linux 和 Windows EC2 实例。受影响的 Linux 系统侦听端口 2080 / TCP 和 2053 / TCP 上的入站连接。受感染的 Windows 系统具有与其他受感染的 Linux 主机类似的 C2 进行通信的后门,使用非常相似的配置格式。该后门基于臭名昭著的 Gh0st RAT 恶意软件的源代码。所有收集的样本都是从相同的基础架构中收集的,因此,研究人员认为它们是同一工具集的一部分。尽管仍然存在一些问题,但与安全社区,网络管理员和研究人员分享所有证据以提高对这种攻击的认识非常重要。
