Stručnjaci japanske kompanije Trend Micro, specijalizovane za pitanja sajber bezbednosti, otkrili su zlonamerni program SprySOCKS, koji se koristi za napad na mašine koje pokreću Linux familiju sistema.
Novi zlonamjerni softver dolazi iz Windows backdoor Trochilus, otkriveno 2015. od strane istraživača iz kompanije Arbor Networks, pokreće se i izvršava samo u memoriji, a njegov teret nije pohranjen na diskovima, što značajno otežava otkrivanje. U junu ove godine, istraživači Trend Micro-a otkrili su fajl pod nazivom “libmonitor.so.2” na serveru koji koristi grupa čiju su aktivnost pratili od 2021. godine. U bazi podataka VirusTotal otkrili su pridruženu izvršnu datoteku “mkmon”, koja je pomogla dešifriranju “libmonitor.so.2” i otkrivanju njenog tereta.
Ispostavilo se da se radi o složenom zlonamjernom programu za Linux, čija se funkcionalnost djelomično poklapa s mogućnostima Trochilusa i ima originalnu implementaciju protokola Socket Secure (SOCKS), pa je zlonamjernom softveru dato ime SprySOCKS. Omogućava vam prikupljanje informacija o sistemu, pokretanje komandnog interfejsa za daljinsko upravljanje (ljuska), formiranje liste mrežnih veza, postavljanje proxy servera zasnovanog na SOCKS protokolu za razmenu podataka između kompromitovanog sistema i napadačevog komandnog servera, i obavljati druge operacije. Navođenje verzija zlonamjernog softvera sugerira da je još uvijek u razvoju.
Istraživači sugerišu da SprySOCKS koriste hakeri iz grupe Earth Lusca - prvi put je otkriven 2021. godine, a na listi sajber kriminalaca pojavio se godinu dana kasnije. Grupa koristi metode socijalnog inženjeringa da inficira sisteme. SprySOCKS instalira Cobalt Strike i Winnti pakete kao korisne terete. Prvi je komplet za pronalaženje i iskorištavanje ranjivosti; drugi, star više od deset godina, kontaktira kineske vlasti. Postoji verzija da grupa Earth Lusca, koja uglavnom radi sa azijskim ciljevima, ima za cilj pronevjeru sredstava, jer su njene žrtve često kompanije koje se bave kockanjem i kriptovalutama.
Pročitajte također:
- Microsoft optužen je za "flagrantno zanemarivanje" sajber sigurnosti
- Hakeri su onesposobili jednu od najmodernijih astronomskih opservatorija