Experter från det japanska företaget Trend Micro, som är specialiserat på cybersäkerhetsfrågor, upptäckte det skadliga programmet SprySOCKS, som används för att attackera maskiner som kör Linux-familjen av system.
Den nya skadliga programvaran kommer från Windows-bakdörren Trochilus, upptäckt 2015 av forskare från företaget Arbor Networks, lanseras och körs den endast i minnet, och dess nyttolast lagras inte på diskar, vilket avsevärt komplicerar upptäckten. I juni i år upptäckte Trend Micro-forskare en fil med namnet "libmonitor.so.2" på en server som används av en grupp vars aktivitet de hade övervakat sedan 2021. I VirusTotal-databasen upptäckte de den associerade körbara filen "mkmon", som hjälpte till att dekryptera "libmonitor.so.2" och avslöja dess nyttolast.
Det visade sig att detta är ett komplext skadligt program för Linux, vars funktionalitet delvis sammanfaller med kapaciteten hos Trochilus och har en original implementering av Socket Secure (SOCKS)-protokollet, så skadlig programvara fick namnet SprySOCKS. Det låter dig samla in information om systemet, starta ett fjärrstyrningskommandogränssnitt (skal), bilda en lista över nätverksanslutningar, distribuera en proxyserver baserad på SOCKS-protokollet för att utbyta data mellan det komprometterade systemet och angriparens kommandoserver, och utföra andra operationer. Att specificera versionerna av skadlig programvara tyder på att den fortfarande är under utveckling.
Forskare föreslår att SprySOCKS används av hackare från Earth Lusca-gruppen - det upptäcktes först 2021, och det dök upp på listan över cyberkriminella ett år senare. Gruppen använder sociala ingenjörsmetoder för att infektera system. SprySOCKS installerar Cobalt Strike och Winnti-paketen som nyttolaster. Det första är ett kit för att hitta och utnyttja sårbarheter; den andra, som är mer än tio år gammal, kontaktar de kinesiska myndigheterna. Det finns en version som Earth Lusca-gruppen, som huvudsakligen arbetar med asiatiska mål, syftar till att förskingra medel, eftersom dess offer ofta är företag som är inblandade i hasardspel och kryptovalutor.
Läs också:
- Microsoft anklagades för "flagrann försummelse" av cybersäkerhet
- Hackare inaktiverade ett av de modernaste astronomiska observatorierna