网络安全研究人员Dr. Web发现了一个针对东南亚企业和用户的新型活跃Linux恶意软件活动。这一发现是在对其一位客户报告的恶意软件攻击进行调查时发现的。

调查始于一位客户向Dr. Web表示担心其计算机基础设施可能受到攻击。在分析客户数据后，Dr. Web发现了多个类似案例，表明这是一次大规模且活跃的攻击活动。尽管最初不确定攻击者如何获得访问权限，但研究人员成功追踪了攻击的初始阶段。

研究人员发现，黑客在攻击中滥用eBPF(扩展伯克利数据包过滤器)技术。需要说明的是，eBPF最初旨在更好地控制Linux操作系统的网络功能。

值得注意的是，eBPF受到的关注日益增加，尤其是在2021年8月之后，谷歌、Isovalent、Meta、微软和Netflix等科技巨头合作在Linux基金会下成立了eBPF基金会，以支持eBPF技术的发展和采用。

然而，在正在进行的攻击中，eBPF的低级功能使攻击者能够隐藏网络活动、收集敏感信息并绕过安全措施。这使得研究人员很难发现，这对黑客来说是一个有利可图的机会，尤其是对于希望长期访问目标系统的高级持续威胁(APT)组织来说。

在这次攻击活动中，正如Dr. Web在12月10日发布的报告中所述，攻击者使用eBPF加载了两个rootkit。第一个是eBPF rootkit，它隐藏了第二个rootkit的存在，然后释放了一个能够传输流量的远程访问木马(Trojan.Siggen28.58279或Trojan:Win32/Siggen.GR!MTB)，使攻击者即使在私有网络内也能与受感染的设备进行通信。

威胁者还改变了他们存储恶意软件配置的方式。他们不再依赖私人命令和控制服务器，而是使用流行的、可公开访问的平台。

Dr. Web分析的恶意软件被发现从GitHub等平台甚至中国网络安全博客检索设置。这种策略使恶意流量看起来合法，因为它将其与正常网络活动结合在一起。它还消除了攻击者维护单独控制基础设施的需要，这些基础设施更容易被检测和关闭。

然而，自2023年以来，恶意eBPF软件的使用一直在增加，出现了几个恶意软件家族，包括Boopkit、BPFDoor和Symbiote。eBPF技术中发现的大量漏洞进一步加剧了这种情况。

此次持续的网络攻击是政府支持的黑客和网络犯罪分子不惜不顾后果的又一例证。他们的策略(包括利用eBPF等先进技术以及使用公共平台进行配置存储)充分表明了这一点。