Stručnjaci japanske tvrtke Trend Micro, specijalizirane za pitanja kibernetičke sigurnosti, otkrili su maliciozni program SprySOCKS koji se koristi za napade na strojeve koji pokreću Linux obitelj sustava.
Novi zlonamjerni softver dolazi iz Windows backdoor Trochilus, otkrio 2015. od strane istraživača iz tvrtke Arbor Networks, pokreće se i izvršava samo u memoriji, a njegov korisni teret nije pohranjen na diskove, što značajno otežava detekciju. U lipnju ove godine istraživači Trend Microa otkrili su datoteku pod nazivom “libmonitor.so.2” na poslužitelju koji koristi grupa čiju su aktivnost pratili od 2021. godine. U bazi podataka VirusTotal otkrili su pridruženu izvršnu datoteku "mkmon", koja je pomogla dešifrirati "libmonitor.so.2" i otkriti njezin korisni teret.
Ispostavilo se da je riječ o složenom zloćudnom programu za Linux čija se funkcionalnost djelomično podudara s mogućnostima Trochilusa i ima originalnu implementaciju Socket Secure (SOCKS) protokola, pa je malware dobio ime SprySOCKS. Omogućuje prikupljanje informacija o sustavu, pokretanje naredbenog sučelja za daljinsko upravljanje (shell), formiranje popisa mrežnih veza, postavljanje proxy poslužitelja temeljenog na SOCKS protokolu za razmjenu podataka između kompromitiranog sustava i napadačevog naredbenog poslužitelja te obavljati druge operacije. Navođenje verzija zlonamjernog softvera sugerira da je još uvijek u razvoju.
Istraživači sugeriraju da SprySOCKS koriste hakeri iz grupe Earth Lusca – prvi put je otkriven 2021., a godinu dana kasnije pojavio se na popisu kibernetičkih kriminalaca. Grupa koristi metode socijalnog inženjeringa za zarazu sustava. SprySOCKS instalira pakete Cobalt Strike i Winnti kao korisni teret. Prvi je komplet za pronalaženje i iskorištavanje ranjivosti; drugi, koji je star više od deset godina, kontaktira kineske vlasti. Postoji verzija da grupa Earth Lusca, koja radi uglavnom s azijskim metama, ima za cilj pronevjeriti sredstva jer su njezine žrtve često kockarske i kriptovalutne tvrtke.
Pročitajte također:
- Microsoft je optužen za "flagrantno zanemarivanje" kibernetičke sigurnosti
- Hakeri su onesposobili jednu od najmodernijih astronomskih opservatorija