Експерти от японската компания Trend Micro, специализирана в проблемите на киберсигурността, откриха злонамерената програма SprySOCKS, която се използва за атака на машини, работещи с фамилията системи Linux.
Новият зловреден софтуер идва от задната врата на Windows Trochilus, открити 2015 г. от изследователи от компанията Arbor Networks, той се стартира и изпълнява само в паметта, а полезният му товар не се съхранява на дискове, което значително усложнява откриването. През юни тази година изследователите на Trend Micro откриха файл с име „libmonitor.so.2“ на сървър, използван от група, чиято дейност са наблюдавали от 2021 г. В базата данни на VirusTotal те откриха свързания изпълним файл „mkmon“, който помогна за декриптирането на „libmonitor.so.2“ и разкриването на неговия полезен товар.
Оказа се, че това е сложна злонамерена програма за Linux, чиято функционалност частично съвпада с възможностите на Trochilus и има оригинална реализация на протокола Socket Secure (SOCKS), затова зловредният софтуер получи името SprySOCKS. Тя ви позволява да събирате информация за системата, да стартирате команден интерфейс (shell) за отдалечено управление, да формирате списък с мрежови връзки, да разположите прокси сървър на базата на протокола SOCKS за обмен на данни между компрометираната система и командния сървър на атакуващия и извършват други операции. Посочването на версиите на зловреден софтуер предполага, че той все още е в процес на разработка.
Изследователите предполагат, че SprySOCKS се използва от хакери от групата Earth Lusca - за първи път е открит през 2021 г., а година по-късно се появява в списъка на киберпрестъпниците. Групата използва методи за социално инженерство, за да заразява системи. SprySOCKS инсталира пакетите Cobalt Strike и Winnti като полезни товари. Първият е комплект за намиране и използване на уязвимости; вторият, който е на повече от десет години, се свързва с китайските власти. Има версия, че групата Earth Lusca, която работи основно с азиатски цели, има за цел да присвои средства, тъй като нейни жертви често са компании за хазарт и криптовалута.
Прочетете също:
- Microsoft беше обвинен в "явно пренебрегване" на киберсигурността
- Хакери дезактивираха една от най-модерните астрономически обсерватории