Китайські хакери придумали небачений раніше спосіб прихованої атаки на Linux-системи
20 сентября 2023
Эксперты японской компании Trend Micro, которая специализируется на вопросах кибербезопасности, обнаружили вредоносную программу SprySOCKS, которая используется для атаки на машины под управлением систем семейства Linux.
Источник изображения: Tumisu / pixabay.com
Новый вредонос происходит от Windows-бэкдора Trochilus, обнаруженного в 2015 году исследователями из компании Arbor Networks — он запускается и выполняется только в памяти, а его полезная нагрузка не сохраняется на дисках, что существенно затрудняет обнаружение. В июне этого года исследователи Trend Micro обнаружили на сервере файл с именем «libmonitor.so.2», использовавшийся группой, чью деятельность они отслеживали с 2021 года. В базе VirusTotal они обнаружили связанный с ним исполняемый файл «mkmon», который помог расшифровать «libmonitor.so.2» и раскрыть его полезную нагрузку.
Выяснилось, что это комплексная вредоносная программа под Linux, функциональность которой частично совпадает с возможностями Trochilus и обладает оригинальной реализацией протокола Socket Secure (SOCKS), поэтому вредоносу было присвоено название SprySOCKS. Он позволяет собирать информацию о системе, запускать командный интерфейс удалённого управления (shell), формировать список сетевых подключений, разворачивать прокси-сервер на основе протокола SOCKS для обмена данными между скомпрометированной системой и командным сервером злоумышленника, а также производить другие операции. Указание версий вредоноса позволяет предположить, что он до сих пор находится в разработке.
Исследователи предполагают, что SprySOCKS используют хакеры группировки Earth Lusca — впервые она была обнаружена в 2021 году, а в списке киберпреступников оказалась годом позже. Для заражения систем группировка использует методы социальной инженерии. В качестве полезной нагрузки SprySOCKS устанавливает пакеты Cobalt Strike и Winnti. Первый — это комплект для поиска и эксплуатации уязвимостей; второй, которому уже более десяти лет, — связывается с китайскими властями. Есть версия, что работающая преимущественно по азиатским целям группировка Earth Lusca нацелена на хищение денежных средств, потому что её жертвами часто оказываются компании, которые занимаются азартными играми и криптовалютами.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
ЄС може змінити правила вступу заради України 25 февраля 2026
Нинішня методологія розширення створена для мирних часів, коли кандидати дійсно мають достатньо часу для проведення всіх реформ.
Росія розганяє фейк про "передачу ядерної зброї" Україні 25 февраля 2026
На інформацію російької розвідки дуже оперативно відреагував речник Кремля Дмитро Пєсков, який згадав про міжнародне право.
Представлений трекер Xiaomi Tag, здатний працювати в екосистемах Apple та Google 25 февраля 2026
Xiaomi офіційно вийшла на ринок розумних трекерів — перший пристрій отримав назву Xiaomi Tag. Компактний Bluetooth-трекер, покликаний допомагати в пошуку втрачених ключів, гаманців, багажу та інших предметів, не прив'язаний до однієї пропрієтарної системи, а підтримує роботу в мережах Apple Find My та Google Find Hub. Він однаково добре працює як з iPhone, так і з Android-смартфонами.
5.0