Παρατηρήθηκε ένας Κινέζος χάκερ επικεντρωμένος στην κατασκοπεία που παρακολουθείται ως «Earth Lusca» να στοχεύει κυβερνητικές υπηρεσίες σε πολλές χώρες, χρησιμοποιώντας μια νέα κερκόπορτα Linux που ονομάζεται «SprySOCKS».
Trend Micro's ανάλυση του μυθιστορήματος κερκόπορτα έδειξε ότι προέρχεται από το κακόβουλο λογισμικό ανοιχτού κώδικα των Windows Trochilus, με πολλές από τις λειτουργίες του να έχουν μεταφερθεί για να λειτουργούν σε συστήματα Linux.
Ωστόσο, το κακόβουλο λογισμικό φαίνεται να είναι ένα μείγμα πολλαπλών κακόβουλων προγραμμάτων καθώς το πρωτόκολλο επικοινωνίας του διακομιστή εντολών και ελέγχου (C2) του SprySOCKS είναι παρόμοιο με το RedLeaves, μια κερκόπορτα των Windows. Αντίθετα, η υλοποίηση του διαδραστικού κελύφους φαίνεται να προέρχεται από το Derusbi, ένα κακόβουλο λογισμικό Linux.
Επίθεση της Γης Λούσκα
Η Earth Lusca παρέμεινε ενεργή καθ' όλη τη διάρκεια του πρώτου εξαμήνου του έτους, στοχεύοντας βασικούς κυβερνητικούς φορείς που επικεντρώνονται στις εξωτερικές υποθέσεις, την τεχνολογία και τις τηλεπικοινωνίες στη Νοτιοανατολική Ασία, την Κεντρική Ασία, τα Βαλκάνια και παγκοσμίως.
Η Trend Micro αναφέρει ότι είδε προσπάθειες εκμετάλλευσης για πολλά ελαττώματα εκτέλεσης απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας n ημερών μεταξύ 2019 και 2022, που επηρεάζουν τα τελικά σημεία που εκτίθενται στο διαδίκτυο.
Αυτά τα ελαττώματα αξιοποιούνται για την απόρριψη Beacons Cobalt Strike, τα οποία επιτρέπουν την απομακρυσμένη πρόσβαση στο δίκτυο που έχει παραβιαστεί. Αυτή η πρόσβαση χρησιμοποιείται για να εξαπλωθεί πλευρικά στο δίκτυο κατά την εξαγωγή αρχείων, την κλοπή διαπιστευτηρίων λογαριασμού και την ανάπτυξη πρόσθετων ωφέλιμων φορτίων, όπως το ShadowPad.
Οι φορείς απειλών χρησιμοποιούν επίσης τους φάρους Cobalt Strike για να ρίξουν τον φορτωτή SprySOCKS, μια παραλλαγή του εγχυτήρα Linux ELF που ονομάζεται “mandibule”, που φτάνει σε στοχευμένες μηχανές με τη μορφή ενός αρχείου με το όνομα “libmonitor.so.2”.
Οι ερευνητές της Trend Micro λένε ότι οι επιτιθέμενοι προσάρμοσαν την κάτω γνάθο για τις ανάγκες τους, αλλά με κάπως βιαστικό τρόπο, αφήνοντας πίσω τους μηνύματα εντοπισμού σφαλμάτων και σύμβολα.
Το πρόγραμμα φόρτωσης εκτελείται με το όνομα “kworker/0:22” για να αποφευχθεί η ανίχνευση μοιάζοντας με ένα νήμα εργασίας πυρήνα Linux, αποκρυπτογραφεί το ωφέλιμο φορτίο δεύτερου σταδίου (SprySOCKS) και εδραιώνει την επιμονή στον μολυσμένο υπολογιστή.
Δυνατότητες SprySOCKS
Το backdoor SprySOCKS χρησιμοποιεί ένα πλαίσιο δικτύωσης υψηλής απόδοσης που ονομάζεται «HP-Socket» για τη λειτουργία του, ενώ οι επικοινωνίες TCP του με το C2 είναι κρυπτογραφημένες AES-ECB.
Οι κύριες λειτουργίες backdoor αυτού του νέου κακόβουλου λογισμικού περιλαμβάνουν:
- Συλλογή συλλογής πληροφοριών συστήματος (λεπτομέρειες λειτουργικού συστήματος, μνήμη, διεύθυνση IP, όνομα ομάδας, γλώσσα, CPU),
- ξεκινώντας ένα διαδραστικό κέλυφος που χρησιμοποιεί το υποσύστημα PTY,
- καταχώριση συνδέσεων δικτύου,
- διαχείριση των διαμορφώσεων διακομιστή μεσολάβησης SOCKS,
- και εκτέλεση βασικών λειτουργιών αρχείων (φόρτωση, λήψη, καταχώριση, διαγραφή, μετονομασία και δημιουργία καταλόγων.)
Το κακόβουλο λογισμικό δημιουργεί επίσης ένα αναγνωριστικό πελάτη (αριθμός θύματος) χρησιμοποιώντας τη διεύθυνση MAC της πρώτης αναφερόμενης διεπαφής δικτύου και ορισμένες δυνατότητες της CPU και στη συνέχεια το μετατρέπει σε δεκαεξαδική συμβολοσειρά 28 byte.
Η Trend Micro αναφέρει ότι έχει δοκιμάσει δύο εκδόσεις του SprySOCKS, v1.1 και v.1.3.6, υποδεικνύοντας την ενεργή ανάπτυξη του κακόβουλου λογισμικού.
Η συνιστώμενη προτεραιότητα για τους οργανισμούς θα πρέπει να είναι η εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας σε προϊόντα διακομιστών που αντιμετωπίζουν το κοινό, κάτι που, σε αυτήν την περίπτωση, θα αποτρέψει τον αρχικό συμβιβασμό από τη Earth Lusca.
