近期， AnubisBackdoor 频繁出现。这是一个基于 Python 的后门程序，其幕后黑手是 Savage Ladybug 组织。据报道，该组织与臭名昭著的 FIN7 网络犯罪团伙存在关联。

此恶意软件的目的在于提供远程访问权限、执行命令以及推动数据泄露，与此同时，还能躲避大多数防病毒解决方案的检测。

技术分析

AnubisBackdoor 是网络犯罪集团所开发和部署的复杂恶意软件工具这一广泛趋势中的一部分。与主要针对具备银行木马功能的 Android 设备的 Anubis 恶意软件有所不同，AnubisBackdoor 专门用于在其他平台上执行远程命令并入侵系统。它采用了较为温和的混淆技术，致使许多安全工具完全无法对其进行检测（FUD）。这种高度的隐秘性使得威胁行为者能够在恶意垃圾邮件活动中有效地运用它，进而对系统造成更大危害并窃取敏感数据。

Savage Ladybug 组织对 AnubisBackdoor 的运用，凸显出像 FIN7 这类网络犯罪集团不断演变的策略。FIN7 等集团向来以先进的逃避技术和工具开发而声名狼藉。FIN7，也被称作 Carbanak，自 2013 年起便活跃于网络，并且使用了一系列工具，其中包括 Carbanak 后门以及 AvNeutralizer 工具，这些工具旨在禁用端点检测和响应（EDR）解决方案。AnubisBackdoor 的开发与部署表明，这些组织持续创新并调整自身策略，以逃避检测并将攻击的影响力最大化。

攻击指标（IOC）

根据相关报告，为了抵御 AnubisBackdoor，建议安全团队监控特定的入侵指标（IOC），其中包括后端服务器 IP 地址，例如 38.134.148.20、5.252.177.249、212.224.107.203 以及 195.133.67.35。此外，诸如 03a160127cce3a96bfa602456046cc443816af7179d771e300fec80c5ab9f00f 和 5203f2667ab71d154499906d24f27f94e3ebdca4bba7fe55fe490b336bad8919 之类的文件哈希，也应标记出来，以防潜在的恶意活动。

随着威胁形势的持续演变，对于各组织而言，通过实施强大的检测和响应策略来应对此类复杂的恶意软件威胁，从而增强自身安全态势至关重要。