Китайські хакери придумали небачений раніше спосіб прихованої атаки на Linux-системи
20 сентября 2023
Эксперты японской компании Trend Micro, которая специализируется на вопросах кибербезопасности, обнаружили вредоносную программу SprySOCKS, которая используется для атаки на машины под управлением систем семейства Linux.
Источник изображения: Tumisu / pixabay.com
Новый вредонос происходит от Windows-бэкдора Trochilus, обнаруженного в 2015 году исследователями из компании Arbor Networks — он запускается и выполняется только в памяти, а его полезная нагрузка не сохраняется на дисках, что существенно затрудняет обнаружение. В июне этого года исследователи Trend Micro обнаружили на сервере файл с именем «libmonitor.so.2», использовавшийся группой, чью деятельность они отслеживали с 2021 года. В базе VirusTotal они обнаружили связанный с ним исполняемый файл «mkmon», который помог расшифровать «libmonitor.so.2» и раскрыть его полезную нагрузку.
Выяснилось, что это комплексная вредоносная программа под Linux, функциональность которой частично совпадает с возможностями Trochilus и обладает оригинальной реализацией протокола Socket Secure (SOCKS), поэтому вредоносу было присвоено название SprySOCKS. Он позволяет собирать информацию о системе, запускать командный интерфейс удалённого управления (shell), формировать список сетевых подключений, разворачивать прокси-сервер на основе протокола SOCKS для обмена данными между скомпрометированной системой и командным сервером злоумышленника, а также производить другие операции. Указание версий вредоноса позволяет предположить, что он до сих пор находится в разработке.
Исследователи предполагают, что SprySOCKS используют хакеры группировки Earth Lusca — впервые она была обнаружена в 2021 году, а в списке киберпреступников оказалась годом позже. Для заражения систем группировка использует методы социальной инженерии. В качестве полезной нагрузки SprySOCKS устанавливает пакеты Cobalt Strike и Winnti. Первый — это комплект для поиска и эксплуатации уязвимостей; второй, которому уже более десяти лет, — связывается с китайскими властями. Есть версия, что работающая преимущественно по азиатским целям группировка Earth Lusca нацелена на хищение денежных средств, потому что её жертвами часто оказываются компании, которые занимаются азартными играми и криптовалютами.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
До Британії через Ла-Манш за день прибула рекордна кількість мігрантів 8 октября 2024
До британських берегів 5 жовтня прибуло 17 човнів з 973 людьми на борту, що є найбільшою денною кількістю за 2024 рік.
Лілія Ребрик замилувала кадрами зустрічі 12-річної доньки з молодшими сестрами 8 октября 2024
12-річна Діана, старша донька зіркового подружжя, Лілії Ребрик та Андрія Дикого 6-го жовтня повернулася до Києва з Лондона, куди їздила на танцювальні змагання.
Марічка Падалко про ревнощі, перевірки телефона чоловіка і де він зараз служить 8 октября 2024
Телеведуча Марічка Падалко не приховує, що в повсякденному житті вона - людина дуже емоційна і навіть істерична. І якщо до роздряпування обличчя коханому чоловікові Єгору Соболєву в неї не доходило, то "курві", до якої вона його якось приревнувала, зірка писала.
0.8
5.0