Eksperter fra det japanske selskapet Trend Micro, som spesialiserer seg på cybersikkerhetsspørsmål, oppdaget det ondsinnede programmet SprySOCKS, som brukes til å angripe maskiner som kjører Linux-familien av systemer.
Den nye skadevare kommer fra Windows-bakdøren Trochilus, oppdaget 2015 av forskere fra Arbor Networks-selskapet, lanseres og kjøres den bare i minnet, og nyttelasten er ikke lagret på disker, noe som kompliserer oppdagelsen betydelig. I juni i år oppdaget Trend Micro-forskere en fil kalt «libmonitor.so.2» på en server som brukes av en gruppe hvis aktivitet de hadde overvåket siden 2021. I VirusTotal-databasen oppdaget de den tilhørende kjørbare filen "mkmon", som hjalp til med å dekryptere "libmonitor.so.2" og avsløre nyttelasten.
Det viste seg at dette er et komplekst ondsinnet program for Linux, hvis funksjonalitet delvis sammenfaller med egenskapene til Trochilus og har en original implementering av Socket Secure (SOCKS)-protokollen, så skadelig programvare fikk navnet SprySOCKS. Den lar deg samle informasjon om systemet, starte et eksternt administrasjonskommandogrensesnitt (shell), danne en liste over nettverkstilkoblinger, distribuere en proxy-server basert på SOCKS-protokollen for å utveksle data mellom det kompromitterte systemet og angriperens kommandoserver, og utføre andre operasjoner. Å spesifisere versjonene av skadelig programvare antyder at den fortsatt er under utvikling.
Forskere antyder at SprySOCKS brukes av hackere fra Earth Lusca-gruppen – den ble først oppdaget i 2021, og den dukket opp på listen over nettkriminelle et år senere. Gruppen bruker sosiale ingeniørmetoder for å infisere systemer. SprySOCKS installerer Cobalt Strike og Winnti-pakkene som nyttelast. Den første er et sett for å finne og utnytte sårbarheter; den andre, som er mer enn ti år gammel, kontakter kinesiske myndigheter. Det er en versjon som Earth Lusca-gruppen, som hovedsakelig jobber med asiatiske mål, har som mål å underslå midler, fordi ofrene ofte er selskaper involvert i gambling og kryptovalutaer.
Les også:
- Microsoft ble anklaget for «åpenbar forsømmelse» av cybersikkerhet
- Hackere deaktiverte et av de mest moderne astronomiske observatoriene