SprySOCKS: Νέο Linux backdoor χρησιμοποιείται σε κινεζικές εκστρατείες κατασκοπείας

Κινέζοι hackers που φαίνεται να ασχολούνται με την κατασκοπεία και παρακολουθούνται ως “Earth Lusca“, στοχεύουν κυβερνητικές υπηρεσίες σε πολλές χώρες, χρησιμοποιώντας ένα νέο Linux backdoor που ονομάζεται “SprySOCKS”.

Σύμφωνα με την Trend Micro και την ανάλυση που έκανε, το νέο backdoor προέρχεται από το open-source Windows malware Trochilus, με πολλές από τις λειτουργίες του να έχουν προσαρμοστεί για να λειτουργούν αποτελεσματικά σε συστήματα Linux. Ωστόσο, το κακόβουλο λογισμικό φαίνεται να είναι ένα μείγμα πολλαπλών κακόβουλων προγραμμάτων, καθώς το πρωτόκολλο επικοινωνίας του command and control server (C2) του SprySOCKS είναι παρόμοιο με το RedLeaves, ένα άλλο Windows backdoor. Αντίθετα, άλλα στοιχεία φαίνεται να προέρχονται από το Derusbi, ένα κακόβουλο λογισμικό Linux.

Δείτε επίσης: APT36 hackers: Χρησιμοποιούν ψεύτικα YouTube apps και μολύνουν συσκευές με το CapraRAT

Earth Lusca: Επιθέσεις με το SprySOCKS backdoor

Οι Earth Lusca ήταν ιδιαίτερα ενεργοί καθ’ όλη τη διάρκεια του πρώτου εξαμήνου του έτους. Στόχευαν βασικούς κυβερνητικούς φορείς που επικεντρώνονται στις εξωτερικές υποθέσεις, την τεχνολογία και τις τηλεπικοινωνίες στη Νοτιοανατολική Ασία, την Κεντρική Ασία, τα Βαλκάνια και σε άλλες περιοχές σε όλο τον κόσμο.

Η εταιρεία Trend Micro αναφέρει ότι παρατηρήθηκαν προσπάθειες εκμετάλλευσης πολλαπλών n-day ευπαθειών που επέτρεπαν εκτέλεση κώδικα απομακρυσμένα, σε ένα ευρύ χρονικό διάστημα από το 2019 έως το 2022. Αυτές οι ευπάθειες επηρέαζαν τελικά σημεία που ήταν εκτεθειμένα στο διαδίκτυο.

Οι ευπάθειες χρησιμοποιούνταν για την εγκατάσταση Cobalt Strike beacons, τα οποία επιτρέπουν την απομακρυσμένη πρόσβαση στο δίκτυο που έχει παραβιαστεί. Στη συνέχεια, αυτή η πρόσβαση χρησιμοποιείται από τους hacker για lateral movement στο δίκτυο και επιτρέπει την εξαγωγή αρχείων, την κλοπή credentials λογαριασμού και την ανάπτυξη πρόσθετων κακόβουλων payalods, όπως το ShadowPad.

Δείτε επίσης: Hook: Το νέο Android banking trojan βασίζεται στο ERMAC

Τα Cobalt Strike beacons χρησιμοποιούνταν και για την εγκατάσταση του SprySOCKS loader, μια παραλλαγή του Linux ELF injector που ονομάζεται “mandibule“. Αυτό φτάνει σε στοχευμένα μηχανήματα με τη μορφή ενός αρχείου με το όνομα “libmonitor.so.2”.

Το loader εκτελείται με το όνομα “kworker/0:22” για να αποφευχθεί η ανίχνευση, αποκρυπτογραφεί το payload δεύτερου σταδίου (SprySOCKS) και εδραιώνει persistence στον μολυσμένο υπολογιστή.

SprySOCKS backdoor δυνατότητες

Το backdoor SprySOCKS χρησιμοποιεί ένα networking framework υψηλής απόδοσης που ονομάζεται “HP-Socket” για τη λειτουργία του. Οι επικοινωνίες TCP του με το C2 είναι κρυπτογραφημένες με AES-ECB.

Οι κύριες λειτουργίες του backdoor περιλαμβάνουν:

• Συλλογή πληροφοριών συστήματος (λεπτομέρειες λειτουργικού συστήματος, μνήμη, διεύθυνση IP, όνομα ομάδας, γλώσσα, CPU),
• Εκκίνηση ενός διαδραστικού shell που χρησιμοποιεί το PTY subsystem,
• Καταχώριση συνδέσεων δικτύου,
• Διαχείριση SOCKS proxy configurations,
• Εκτέλεση βασικών λειτουργιών αρχείων (φόρτωση, λήψη, καταχώριση, διαγραφή, μετονομασία και δημιουργία καταλόγων.)

Η Trend Micro αναφέρει ότι έχει δοκιμάσει δύο εκδόσεις του SprySOCKS, v1.1 και v.1.3.6. Αυτό σημαίνει ότι το malware βρίσκεται υπό συνεχή ανάπτυξη.

Δείτε επίσης: Rust Implant χρησιμοποιείται σε νέα εκστρατεία malware κατά του Αζερμπαϊτζάν

Οι οργανισμοί θα πρέπει να εφαρμόζουν άμεσα τις νέες ενημερώσεις ασφαλείας στα συστήματά τους, ώστε να είναι σίγουροι ότι δεν υπάρχουν κενά ασφαλείας, που θα μπορούσαν να αξιοποιήσουν οι hackers, όπως η ομάδα Earth Lusca, για να επιτεθούν.

Τα backdoor malware, όπως το SprySOCKS, αποτελούν σοβαρή απειλή για την κυβερνοασφάλεια. Αυτός ο τύπος κακόβουλου λογισμικού, προσφέρει στον εισβολέα πρόσβαση σε έναν υπολογιστή ή σε ένα δίκτυο, παρακάμπτοντας τα συνήθη μέσα προστασίας. Οι επιθέσεις backdoor μπορούν να είναι εξαιρετικά δύσκολες στην ανίχνευση, καθώς συχνά χρησιμοποιούν προηγμένες τεχνικές εκμετάλλευσης και μεθόδους απόκρυψης για να παραμείνουν στο σύστημα του θύματος. Η ενημέρωση πάνω στις απειλές malware backdoor είναι σημαντική για την ανάπτυξη αποτελεσματικών στρατηγικών ασφαλείας.

Πηγή: www.bleepingcomputer.com