Експерти японської компанії Trend Micro, яка спеціалізується на питаннях кібербезпеки, виявили шкідливу програму SprySOCKS, яка використовується для атаки на машини під управлінням систем сімейства Linux.
Новий шкідник походить від Windows-бекдора Trochilus, виявленого 2015 року дослідниками з компанії Arbor Networks, – він запускається і виконується тільки в пам’яті, а його корисне навантаження не зберігається на дисках, що істотно ускладнює виявлення. У червні цього року дослідники Trend Micro виявили на сервері файл з ім’ям “libmonitor.so.2”, який використовувала група, чию діяльність вони відстежували з 2021 року. У базі VirusTotal вони виявили пов’язаний із ним виконуваний файл “mkmon”, який допоміг розшифрувати “libmonitor.so.2” і розкрити його корисне навантаження.
З’ясувалося, що це комплексна шкідлива програма під Linux, функціональність якої частково збігається з можливостями Trochilus і має оригінальну реалізацію протоколу Socket Secure (SOCKS), тому шкіднику було присвоєно назву SprySOCKS. Він дає змогу збирати інформацію про систему, запускати командний інтерфейс віддаленого управління (shell), формувати список мережевих під’єднань, розгортати проксі-сервер на основі протоколу SOCKS для обміну даними між скомпрометованою системою та командним сервером зловмисника, а також здійснювати інші операції. Зазначення версій шкідника дає змогу припустити, що він досі перебуває в розробці.
Дослідники припускають, що SprySOCKS використовують хакери угруповання Earth Lusca – уперше його виявили у 2021 році, а у списку кіберзлочинців воно опинилося роком пізніше. Для зараження систем угруповання використовує методи соціальної інженерії. Як корисне навантаження SprySOCKS встановлює пакети Cobalt Strike і Winnti. Перший – це комплект для пошуку та експлуатації вразливостей; другий, якому вже понад десять років, – зв’язується з китайською владою. Є версія, що угруповання Earth Lusca, яке працює переважно з азіатськими цілями, націлене на розкрадання грошових коштів, тому що його жертвами часто стають компанії, що займаються азартними іграми і криптовалютами.
Читайте також:
- Microsoft звинуватили у “кричущому нехтуванні” кібербезпекою
- Хакери вивели з ладу одну з найсучасніших астрономічних обсерваторій