A kiberbiztonsági kérdésekre szakosodott japán Trend Micro cég szakértői felfedezték a SprySOCKS rosszindulatú programot, amellyel a Linux rendszercsaládot futtató gépeket támadják meg.
Az új rosszindulatú program a Windows hátsóajtó Trochilustól származik, felfedezték 2015-ben az Arbor Networks cég kutatói, csak a memóriában indítják és hajtják végre, és a hasznos terhelést nem tárolják lemezeken, ami jelentősen megnehezíti az észlelést. Ez év júniusában a Trend Micro kutatói egy „libmonitor.so.2” nevű fájlt fedeztek fel egy szerveren, amelyet egy olyan csoport használt, amelynek tevékenységét 2021 óta figyelték. A VirusTotal adatbázisban felfedezték a kapcsolódó „mkmon” futtatható fájlt, amely segített a „libmonitor.so.2” dekódolásában és a hasznos terhelés feltárásában.
Kiderült, hogy ez egy Linuxra szánt komplex rosszindulatú program, amelynek funkcionalitása részben egybeesik a Trochilus képességeivel, és a Socket Secure (SOCKS) protokoll eredeti megvalósításával rendelkezik, így a kártevő a SprySOCKS nevet kapta. Lehetővé teszi információk gyűjtését a rendszerről, távoli felügyeleti parancsfelület (shell) indítását, hálózati kapcsolatok listájának létrehozását, SOCKS protokollon alapuló proxyszerver telepítését a feltört rendszer és a támadó parancskiszolgálója közötti adatcseréhez, valamint egyéb műveleteket végezni. A kártevő verzióinak megadása arra utal, hogy még fejlesztés alatt áll.
A kutatók szerint a SprySOCKS-t az Earth Lusca csoport hackerei használják – először 2021-ben fedezték fel, és egy évvel később került fel a kiberbűnözők listájára. A csoport social engineering módszereket használ a rendszerek megfertőzésére. A SprySOCKS hasznos adatként telepíti a Cobalt Strike és a Winnti csomagokat. Az első egy készlet a sebezhetőségek felkutatására és kihasználására; a második, amely több mint tíz éves, felveszi a kapcsolatot a kínai hatóságokkal. Van egy olyan verzió, amely szerint a főként ázsiai célpontokkal dolgozó Earth Lusca csoport célja a pénzeszközök elsikkasztása, mert áldozatai gyakran szerencsejáték- és kriptovaluta cégek.
Olvassa el még:
- Microsoft a kiberbiztonság "kirívó elhanyagolásával" vádolták
- Hackerek letiltották az egyik legmodernebb csillagászati obszervatóriumot