Eksperter fra det japanske firma Trend Micro, som har specialiseret sig i cybersikkerhedsspørgsmål, opdagede det ondsindede program SprySOCKS, som bruges til at angribe maskiner, der kører Linux-familien af systemer.
Den nye malware kommer fra Windows-bagdøren Trochilus, opdaget 2015 af forskere fra Arbor Networks-virksomheden, lanceres og udføres den kun i hukommelsen, og dens nyttelast er ikke lagret på diske, hvilket i betydelig grad komplicerer detektion. I juni i år opdagede Trend Micro-forskere en fil med navnet "libmonitor.so.2" på en server, der blev brugt af en gruppe, hvis aktivitet de havde overvåget siden 2021. I VirusTotal-databasen opdagede de den tilhørende eksekverbare fil "mkmon", som hjalp med at dekryptere "libmonitor.so.2" og afsløre dens nyttelast.
Det viste sig, at dette er et komplekst ondsindet program til Linux, hvis funktionalitet delvist falder sammen med Trochilus' muligheder og har en original implementering af Socket Secure (SOCKS)-protokollen, så malwaren fik navnet SprySOCKS. Det giver dig mulighed for at indsamle oplysninger om systemet, starte en fjernstyringskommandogrænseflade (shell), danne en liste over netværksforbindelser, implementere en proxyserver baseret på SOCKS-protokollen for at udveksle data mellem det kompromitterede system og angriberens kommandoserver og udføre andre operationer. Angivelse af versionerne af malwaren tyder på, at den stadig er under udvikling.
Forskere foreslår, at SprySOCKS bruges af hackere fra Earth Lusca-gruppen - det blev først opdaget i 2021, og det dukkede op på listen over cyberkriminelle et år senere. Gruppen bruger social engineering metoder til at inficere systemer. SprySOCKS installerer Cobalt Strike og Winnti-pakkerne som nyttelast. Den første er et sæt til at finde og udnytte sårbarheder; den anden, som er mere end ti år gammel, kontakter de kinesiske myndigheder. Der er en version af, at Earth Lusca-gruppen, som hovedsageligt arbejder med asiatiske mål, sigter mod at underslæbe midler, fordi dens ofre ofte er gambling- og kryptovalutavirksomheder.
Læs også:
- Microsoft blev anklaget for "åbenelig forsømmelse" af cybersikkerhed
- Hackere deaktiverede et af de mest moderne astronomiske observatorier