一种新发现的基于 Python 的后门程序 —— AnubisBackdoor，正助力威胁行为者在受感染的系统上执行远程命令，且能完全避开大多数杀毒软件的检测。

该恶意软件由臭名昭著的威胁组织 Savage Ladybug（也被称为 FIN7）开发。它通过适度的混淆技术，将简易性与有效性相结合，使攻击者能够在不触发安全警报的情况下，持续访问受感染的系统。

这一恶意软件使攻击者能够远程执行命令、窃取敏感数据，并进一步破坏组织网络基础设施中的多个系统。

其主要感染途径似乎是恶意垃圾邮件活动。在这些活动中，毫无防备的用户会收到看似合法的电子邮件，其中包含恶意附件或链接。

当用户与这些恶意内容互动时，AnubisBackdoor就会安装在他们的系统上，并建立起持久化机制以及与攻击者控制的命令服务器的通信通道。

这种隐秘的方式使得恶意软件能够长时间运行，而受害者却始终未察觉系统已遭入侵。

PRODAFT 的研究人员指出，该恶意软件之所以有效，源于其精心设计的混淆技术。事实证明，这些技术在绕过即使是复杂的安全解决方案方面也极为成功。

新恶意软件警报：Savage Ladybug（FIN7）最近开发了AnubisBackdoor，这是一种简单却有效的基于 Python 的后门程序，采用适度混淆技术，能完全躲过大多数杀毒软件的检测。威胁行为者正积极在恶意垃圾邮件活动中使用它，以实现远程命令。

— PRODAFT（@PRODAFT）2025 年 3 月 11 日

他们的分析显示，尽管AnubisBackdoor结构相对简单，但它以一种能将自身占用资源降至最低同时最大化功能的方式利用标准 Python 库，这使得通过传统手段检测它变得尤为困难。

对该恶意软件架构的技术检查表明，它采用了模块化设计，使威胁行为者能够根据目标环境和特定目标定制有效载荷。

其核心功能围绕着一个直接与系统外壳交互的命令执行机制，从分析中提取的这段代表性代码片段就可证明：

def execute_command(cmd):

try:

output = subprocess.check_output(cmd, shell=True, stderr=subprocess.STDOUT)

return output.decode(‘utf-8’)

except subprocess.CalledProcessError as e:

return e.output.decode(‘utf-8’)

在当今的威胁形势下，该恶意软件能在大多数安全工具的检测阈值之下运行，这使其格外危险。

组织可能在长时间内持续处于被入侵状态，却没有任何入侵迹象，这让攻击者得以监控活动、窃取凭证，并逐步在网络中横向移动。

此外，由于该恶意软件基于 Python 的特性，攻击者还具备了跨平台能力，只需极少修改，就有可能影响 Windows、Linux 和 macOS 系统。

缓解策略与建议

防范AnubisBackdoor需要一种全面的安全方法，不能仅依赖传统的基于特征码的检测手段。

组织应部署强大的电子邮件过滤解决方案，能够在可疑附件到达终端用户之前识别并隔离它们。

应定期进行系统审计，以识别未经授权的 Python 安装或可能表明系统已遭入侵的可疑计划任务。

网络流量分析有助于检测与未知服务器的异常出站连接，这些连接可能代表着与命令服务器的通信。

PRODAFT 已发布了详细的入侵指标（IOCs），包括与AnubisBackdoor活动相关的文件哈希值、IP 地址和域名。

安全团队应立即将这些 IOCs 纳入其检测系统，以识别潜在的感染情况。

安全专家建议实施应用程序白名单策略，防止未经授权的 Python 脚本在企业环境中运行。

应维护并测试定期备份程序，以确保在系统遭入侵时数据能够恢复。