Odborníci z japonskej spoločnosti Trend Micro, ktorá sa špecializuje na problematiku kybernetickej bezpečnosti, objavili škodlivý program SprySOCKS, ktorý sa používa na útoky na stroje so systémom rodiny Linux.
Nový malvér pochádza z Windows backdoor Trochilus, objavil 2015 výskumníkmi zo spoločnosti Arbor Networks, spúšťa a spúšťa sa iba v pamäti a jeho užitočné zaťaženie sa neukladá na disky, čo značne komplikuje detekciu. V júni tohto roku výskumníci Trend Micro objavili súbor s názvom „libmonitor.so.2“ na serveri používanom skupinou, ktorej aktivitu monitorovali od roku 2021. V databáze VirusTotal objavili súvisiaci spustiteľný súbor „mkmon“, ktorý pomohol dešifrovať „libmonitor.so.2“ a odhaliť jeho užitočné zaťaženie.
Ukázalo sa, že ide o komplexný škodlivý program pre Linux, ktorého funkcionalita sa čiastočne zhoduje so schopnosťami Trochilus a má originálnu implementáciu protokolu Socket Secure (SOCKS), takže malvér dostal názov SprySOCKS. Umožňuje vám zhromažďovať informácie o systéme, spúšťať príkazové rozhranie pre vzdialenú správu (shell), vytvárať zoznam sieťových pripojení, nasadzovať proxy server založený na protokole SOCKS na výmenu údajov medzi napadnutým systémom a príkazovým serverom útočníka a vykonávať iné operácie. Zadanie verzií malvéru naznačuje, že je stále vo vývoji.
Výskumníci naznačujú, že SprySOCKS používajú hackeri zo skupiny Earth Lusca - prvýkrát bol objavený v roku 2021 a o rok neskôr sa objavil na zozname kyberzločincov. Skupina používa metódy sociálneho inžinierstva na infikovanie systémov. SprySOCKS nainštaluje balíčky Cobalt Strike a Winnti ako užitočné zaťaženie. Prvým je súprava na vyhľadávanie a využívanie zraniteľností; druhý, ktorý má viac ako desať rokov, kontaktuje čínske úrady. Existuje verzia, že skupina Earth Lusca, ktorá pracuje najmä s ázijskými cieľmi, má za cieľ spreneveru finančných prostriedkov, pretože jej obeťami sú často hazardné a kryptomenové spoločnosti.
Prečítajte si tiež:
- Microsoft bol obvinený z „objavného zanedbania“ kybernetickej bezpečnosti
- Hackeri znefunkčnili jedno z najmodernejších astronomických observatórií