SprySOCKS: китайское предупреждение для мировых правительств

Китайская хакерская группа Earth Lusca была замечена в атаках на правительственные органы в разных странах. Эксперты компании Trend Micro проанализировали новый Linux-бэкдор SprySOCKS, который используется в этих атаках.

SprySOCKS является разновидностью RAT-трояна для Windows Trochilus , многие функции которого были портированы для работы на Linux-системах. Однако, бэкдор представляет собой смесь различных вредоносных программ. Протокол коммуникации с сервером управления (C2-сервер) похож на троян RedLeaves , в то время как интерактивная оболочка была адаптирована из Linux-вредоносного ПО Derusbi .

Earth Lusca оставалась активной на протяжении первой половины года, нацеливаясь на ключевые государственные органы в Юго-Восточной Азии, Центральной Азии, на Балканах и в других регионах мира. Хакеры фокусировались на органах, отвечающих за внешнюю политику, технологии и телекоммуникации.

Методы атаки

Хакеры эксплуатировали несколько уязвимостей удаленного выполнения кода, датированных между 2019 и 2022 годами, влияя на доступные в сети конечные точки. Недостатки использовались для развертывания маяков Cobalt Strike, которые позволяют удаленно получить доступ к целевой сети.

Уязвимости, используемые Earth Lusca

Полученный доступ использовался для бокового перемещения (Lateral Movement) по сети, кражи файлов и учетных данных, а также для развертывания дополнительных полезных нагрузок, таких как ShadowPad.

Технические детали

SprySOCKS использует высокопроизводительный сетевой фреймворк HP-Socket для своей работы, а его TCP-коммуникации с C2-сервером зашифрованы с помощью AES-ECB. Основные функции нового вредоносного ПО включают в себя сбор информации о системе, запуск интерактивной оболочки, управление SOCKS-прокси и базовые манипуляции с файлами.

Рекомендации

Приоритетом для организаций должно быть применение доступных обновлений безопасности на публично доступных серверных продуктах, что в данном случае предотвратит первоначальную компрометацию от Earth Lusca.

Эксперты Trend Micro отмечают активное развитие вредоносного ПО, поскольку были обнаружены две версии SprySOCKS: v1.1 и v.1.3.6. Исследователи также указывают на то, что атакующие адаптировали инжектор Linux ELF под названием «mandibule», оставив за собой отладочные сообщения и символы, что может указывать на спешку в разработке ПО.

Информация подчеркивает необходимость постоянного мониторинга и обновления систем безопасности для защиты от все более сложных и разнообразных угроз в современном мире.