spiduid 在发现一个放在aws s3上的伪装 kworker 的样本中发帖https://ebike-test.s3.dualstack.ap-southeast-1.amazonaws.com/test/kworker SHA256: a5763a0601c9d9ac56b8ea3816e22182e683acb15cfd500f2bf7bd0c783901bf类型: Linux x86_64 ELF特征: UPX 4.24 packed，疑似 Go 程序大小: 10,061,768 bytes请勿直接执行该文件

spiduid 在发现一个放在aws s3上的伪装 kworker 的样本中发帖

https://ebike-test.s3.dualstack.ap-southeast-1.amazonaws.com/test/kworker 

SHA256: a5763a0601c9d9ac56b8ea3816e22182e683acb15cfd500f2bf7bd0c783901bf
类型: Linux x86_64 ELF
特征: UPX 4.24 packed，疑似 Go 程序
大小: 10,061,768 bytes

请勿直接执行该文件。 
解包后观察，像是伪装成 kworker 的 Linux 反连代理。 
IOC

C2: sen.v9.mw
C2 URL: wss://sen.v9.mw:443
伪装进程名: [kworker/0:2*eve]