Kyberturvallisuusasioihin erikoistuneen japanilaisen Trend Micron asiantuntijat löysivät SprySOCKS-haittaohjelman, jota käytetään hyökkäämään Linux-järjestelmäperheen koneisiin.
Uusi haittaohjelma tulee Windowsin takaovesta Trochilus, löydetty Arbor Networks -yhtiön tutkijat vuonna 2015, se käynnistetään ja suoritetaan vain muistissa, eikä sen hyötykuormaa tallenneta levyille, mikä vaikeuttaa merkittävästi havaitsemista. Tämän vuoden kesäkuussa Trend Micron tutkijat löysivät tiedoston nimeltä "libmonitor.so.2" palvelimelta, jota käytti ryhmä, jonka toimintaa he olivat seuranneet vuodesta 2021 lähtien. VirusTotal-tietokannasta he löysivät siihen liittyvän suoritettavan tiedoston "mkmon", joka auttoi purkamaan "libmonitor.so.2" -salauksen ja paljastamaan sen hyötykuorman.
Kävi ilmi, että tämä on monimutkainen haittaohjelma Linuxille, jonka toiminnallisuus on osittain yhteensopiva Trochiluksen ominaisuuksien kanssa ja jossa on alkuperäinen Socket Secure (SOCKS) -protokollan toteutus, joten haittaohjelmalle annettiin nimi SprySOCKS. Sen avulla voit kerätä tietoja järjestelmästä, käynnistää etähallintakomentoliittymän (shell), muodostaa luettelon verkkoyhteyksistä, ottaa käyttöön SOCKS-protokollaan perustuvan välityspalvelimen tietojen vaihtamiseksi vaarantuneen järjestelmän ja hyökkääjän komentopalvelimen välillä ja suorittaa muita toimintoja. Haittaohjelman versioiden määrittäminen viittaa siihen, että se on edelleen kehitteillä.
Tutkijat ehdottavat, että SprySOCKSia käyttävät Earth Lusca -ryhmän hakkerit - se löydettiin ensimmäisen kerran vuonna 2021, ja se ilmestyi kyberrikollisten luetteloon vuotta myöhemmin. Ryhmä käyttää sosiaalisen manipuloinnin menetelmiä järjestelmien tartuttamiseen. SprySOCKS asentaa Cobalt Strike- ja Winnti-paketit hyötykuormiksi. Ensimmäinen on paketti haavoittuvuuksien etsimiseen ja hyödyntämiseen; toinen, yli kymmenen vuotta vanha, ottaa yhteyttä Kiinan viranomaisiin. On olemassa versio, jonka mukaan pääasiassa aasialaisten kohteiden kanssa työskentelevä Earth Lusca -konserni pyrkii kavaltamaan varoja, koska sen uhreja ovat usein rahapeli- ja kryptovaluuttayhtiöt.
Lue myös:
- Microsoft häntä syytettiin kyberturvallisuuden "räikeästä laiminlyönnistä".
- Hakkerit tekivät käytöstä yhden moderneimmista tähtitieteellisistä observatorioista