Китайські хакери придумали небачений раніше спосіб прихованої атаки на Linux-системи
20 сентября 2023
Эксперты японской компании Trend Micro, которая специализируется на вопросах кибербезопасности, обнаружили вредоносную программу SprySOCKS, которая используется для атаки на машины под управлением систем семейства Linux.
Источник изображения: Tumisu / pixabay.com
Новый вредонос происходит от Windows-бэкдора Trochilus, обнаруженного в 2015 году исследователями из компании Arbor Networks — он запускается и выполняется только в памяти, а его полезная нагрузка не сохраняется на дисках, что существенно затрудняет обнаружение. В июне этого года исследователи Trend Micro обнаружили на сервере файл с именем «libmonitor.so.2», использовавшийся группой, чью деятельность они отслеживали с 2021 года. В базе VirusTotal они обнаружили связанный с ним исполняемый файл «mkmon», который помог расшифровать «libmonitor.so.2» и раскрыть его полезную нагрузку.
Выяснилось, что это комплексная вредоносная программа под Linux, функциональность которой частично совпадает с возможностями Trochilus и обладает оригинальной реализацией протокола Socket Secure (SOCKS), поэтому вредоносу было присвоено название SprySOCKS. Он позволяет собирать информацию о системе, запускать командный интерфейс удалённого управления (shell), формировать список сетевых подключений, разворачивать прокси-сервер на основе протокола SOCKS для обмена данными между скомпрометированной системой и командным сервером злоумышленника, а также производить другие операции. Указание версий вредоноса позволяет предположить, что он до сих пор находится в разработке.
Исследователи предполагают, что SprySOCKS используют хакеры группировки Earth Lusca — впервые она была обнаружена в 2021 году, а в списке киберпреступников оказалась годом позже. Для заражения систем группировка использует методы социальной инженерии. В качестве полезной нагрузки SprySOCKS устанавливает пакеты Cobalt Strike и Winnti. Первый — это комплект для поиска и эксплуатации уязвимостей; второй, которому уже более десяти лет, — связывается с китайскими властями. Есть версия, что работающая преимущественно по азиатским целям группировка Earth Lusca нацелена на хищение денежных средств, потому что её жертвами часто оказываются компании, которые занимаются азартными играми и криптовалютами.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Арабські країни відмовили Трампа атакувати Іран - ЗМІ 16 января 2026
Саудівська Аравія, Катар і Оман активно відмовляють президента США від нападу, побоюючись серйозних наслідків у регіоні.
У Росії витратили мільярд рублів на розробку аналога Віагри 16 января 2026
Йдеться про ліки для корекції еректильної дисфункції, підвищення працездатності, лікування черепно-мозкових травм та ішемічного інсульту.
Euro NCAP визначив найнадійніші машини 2025 року: електромобілі домінують 16 января 2026
Euro NCAP визначив найнадійніші машини 2025 року: електромобілі домінують
5.0
