新 Windows 后门 CowerSnail 与恶意软件 SHELLBIND 密切相关

据外媒 7 月 26 日报道，卡巴斯基实验室研究人员近期发现新 Windows 后门 CowerSnail 与 Linux SambaCry 恶意软件 SHELLBIND 密切相关。

SHELLBIND 利用 SambaCry 漏洞感染多数网络附加存储（NAS）设备后，将共享文件传输至 Samba 公共文件夹并通过服务器加载，允许攻击者远程执行任意代码。

调查显示，由于 SHELLBIND 与 Backdoor.Win32 CowerSnail 共享一台命令与控制（C＆C）服务器（cl.ezreal.space:20480），因此极有可能由同一组织创建。

CowerSnail 后门设计基于跨平台开发框架 Qt 编写，允许攻击者将 Unix 平台开发的恶意代码快速迁移至 Windows 环境。另外，该框架还提供了不同操作系统之间的跨平台功能与源代码转移，从而使平台传输代码变得更加容易。然而，在便捷传输的同时也增加了生成文件大小，导致用户代码仅占 3MB 文件的很小比例。

CowerSnail 在升级进程/当前线程优先级后通过 IRC 协议与 C＆C 服务器通信,实现经典后门功能，包括收集受感染系统信息（例如：恶意软件编译时间戳、已安装操作系统类型、操作系统主机名称、网络接口信息、物理内存 ABI 核心处理器架构）、执行命令、自动安装或卸载、接收更新等。

目前，安全专家推测，如果同一黑客组织开发两款特定木马且每款均具备特殊功能时，那么想必这一组织在未来将会设计更多恶意软件。

from hackernews.cc.thanks for it.