Strokovnjaki japonskega podjetja Trend Micro, specializiranega za vprašanja kibernetske varnosti, so odkrili zlonamerni program SprySOCKS, ki se uporablja za napade na stroje, ki poganjajo družino sistemov Linux.
Nova zlonamerna programska oprema izvira iz zakulisnega sistema Windows Trochilus, odkriti 2015 raziskovalcev podjetja Arbor Networks, se zažene in izvaja samo v pomnilniku, njegov tovor pa ni shranjen na diskih, kar bistveno oteži detekcijo. Junija letos so raziskovalci Trend Micro odkrili datoteko z imenom »libmonitor.so.2« na strežniku, ki ga je uporabljala skupina, katere dejavnost so spremljali od leta 2021. V zbirki podatkov VirusTotal so odkrili povezano izvršljivo datoteko »mkmon«, ki je pomagala dešifrirati »libmonitor.so.2« in razkriti njen tovor.
Izkazalo se je, da gre za kompleksen zlonamerni program za Linux, katerega funkcionalnost delno sovpada z zmožnostmi Trochilusa in ima originalno implementacijo protokola Socket Secure (SOCKS), zato je zlonamerna programska oprema dobila ime SprySOCKS. Omogoča zbiranje informacij o sistemu, zagon ukaznega vmesnika (lupine) za oddaljeno upravljanje, oblikovanje seznama omrežnih povezav, namestitev posredniškega strežnika na podlagi protokola SOCKS za izmenjavo podatkov med ogroženim sistemom in napadalčevim ukaznim strežnikom ter izvajati druge operacije. Navedba različic zlonamerne programske opreme nakazuje, da je še v razvoju.
Raziskovalci namigujejo, da SprySOCKS uporabljajo hekerji iz skupine Earth Lusca – prvič so ga odkrili leta 2021, na seznamu kiberkriminalcev pa se je znašel leto kasneje. Skupina uporablja metode socialnega inženiringa za okužbo sistemov. SprySOCKS namesti paketa Cobalt Strike in Winnti kot koristne obremenitve. Prvi je komplet za iskanje in izkoriščanje ranljivosti; drugi, ki je star več kot deset let, kontaktira kitajske oblasti. Obstaja različica, da je skupina Earth Lusca, ki deluje predvsem z azijskimi cilji, namenjena poneverbi sredstev, saj so njene žrtve pogosto podjetja, ki se ukvarjajo z igrami na srečo in kriptovalutami.
Preberite tudi:
- Microsoft je bil obtožen "očitnega zanemarjanja" kibernetske varnosti
- Hekerji so onesposobili enega najsodobnejših astronomskih observatorijev