Οι ειδικοί της ιαπωνικής εταιρείας Trend Micro, που ειδικεύεται σε θέματα ασφάλειας στον κυβερνοχώρο, ανακάλυψαν το κακόβουλο πρόγραμμα SprySOCKS, το οποίο χρησιμοποιείται για να επιτεθεί σε μηχανήματα που εκτελούν την οικογένεια συστημάτων Linux.
Το νέο κακόβουλο λογισμικό προέρχεται από το Windows backdoor Trochilus, ανακαλύφθηκε Το 2015 από ερευνητές της εταιρείας Arbor Networks, εκκινείται και εκτελείται μόνο στη μνήμη και το ωφέλιμο φορτίο του δεν αποθηκεύεται σε δίσκους, γεγονός που περιπλέκει σημαντικά την ανίχνευση. Τον Ιούνιο του τρέχοντος έτους, οι ερευνητές της Trend Micro ανακάλυψαν ένα αρχείο με το όνομα "libmonitor.so.2" σε έναν διακομιστή που χρησιμοποιήθηκε από μια ομάδα της οποίας τη δραστηριότητα παρακολουθούσαν από το 2021. Στη βάση δεδομένων VirusTotal, ανακάλυψαν το σχετικό εκτελέσιμο αρχείο «mkmon», το οποίο βοήθησε στην αποκρυπτογράφηση του «libmonitor.so.2» και στην αποκάλυψη του ωφέλιμου φορτίου του.
Αποδείχθηκε ότι πρόκειται για ένα περίπλοκο κακόβουλο πρόγραμμα για Linux, η λειτουργικότητα του οποίου συμπίπτει εν μέρει με τις δυνατότητες του Trochilus και έχει μια αρχική εφαρμογή του πρωτοκόλλου Socket Secure (SOCKS), επομένως στο κακόβουλο λογισμικό δόθηκε το όνομα SprySOCKS. Σας επιτρέπει να συλλέγετε πληροφορίες για το σύστημα, να εκκινείτε μια διεπαφή εντολών απομακρυσμένης διαχείρισης (κέλυφος), να σχηματίζετε μια λίστα συνδέσεων δικτύου, να αναπτύσσετε έναν διακομιστή μεσολάβησης που βασίζεται στο πρωτόκολλο SOCKS για την ανταλλαγή δεδομένων μεταξύ του παραβιασμένου συστήματος και του διακομιστή εντολών του εισβολέα και εκτελέσει άλλες λειτουργίες. Ο καθορισμός των εκδόσεων του κακόβουλου λογισμικού υποδηλώνει ότι είναι ακόμα υπό ανάπτυξη.
Οι ερευνητές προτείνουν ότι το SprySOCKS χρησιμοποιείται από χάκερ της ομάδας Earth Lusca - ανακαλύφθηκε για πρώτη φορά το 2021 και εμφανίστηκε στη λίστα των εγκληματιών του κυβερνοχώρου ένα χρόνο αργότερα. Η ομάδα χρησιμοποιεί μεθόδους κοινωνικής μηχανικής για να μολύνει συστήματα. Το SprySOCKS εγκαθιστά τα πακέτα Cobalt Strike και Winnti ως ωφέλιμα φορτία. Το πρώτο είναι ένα κιτ για την εύρεση και την εκμετάλλευση τρωτών σημείων. ο δεύτερος, που είναι πάνω από δέκα ετών, επικοινωνεί με τις κινεζικές αρχές. Υπάρχει μια εκδοχή ότι ο όμιλος Earth Lusca, ο οποίος συνεργάζεται κυρίως με ασιατικούς στόχους, στοχεύει στην υπεξαίρεση κεφαλαίων, επειδή τα θύματά του είναι συχνά εταιρείες που ασχολούνται με τυχερά παιχνίδια και κρυπτονομίσματα.
Διαβάστε επίσης:
- Microsoft κατηγορήθηκε για «κατάφωρη παραμέληση» της ασφάλειας στον κυβερνοχώρο
- Χάκερ απενεργοποίησαν ένα από τα πιο σύγχρονα αστρονομικά παρατηρητήρια