Китайські хакери придумали небачений раніше спосіб прихованої атаки на Linux-системи
20 сентября 2023
Эксперты японской компании Trend Micro, которая специализируется на вопросах кибербезопасности, обнаружили вредоносную программу SprySOCKS, которая используется для атаки на машины под управлением систем семейства Linux.
Источник изображения: Tumisu / pixabay.com
Новый вредонос происходит от Windows-бэкдора Trochilus, обнаруженного в 2015 году исследователями из компании Arbor Networks — он запускается и выполняется только в памяти, а его полезная нагрузка не сохраняется на дисках, что существенно затрудняет обнаружение. В июне этого года исследователи Trend Micro обнаружили на сервере файл с именем «libmonitor.so.2», использовавшийся группой, чью деятельность они отслеживали с 2021 года. В базе VirusTotal они обнаружили связанный с ним исполняемый файл «mkmon», который помог расшифровать «libmonitor.so.2» и раскрыть его полезную нагрузку.
Выяснилось, что это комплексная вредоносная программа под Linux, функциональность которой частично совпадает с возможностями Trochilus и обладает оригинальной реализацией протокола Socket Secure (SOCKS), поэтому вредоносу было присвоено название SprySOCKS. Он позволяет собирать информацию о системе, запускать командный интерфейс удалённого управления (shell), формировать список сетевых подключений, разворачивать прокси-сервер на основе протокола SOCKS для обмена данными между скомпрометированной системой и командным сервером злоумышленника, а также производить другие операции. Указание версий вредоноса позволяет предположить, что он до сих пор находится в разработке.
Исследователи предполагают, что SprySOCKS используют хакеры группировки Earth Lusca — впервые она была обнаружена в 2021 году, а в списке киберпреступников оказалась годом позже. Для заражения систем группировка использует методы социальной инженерии. В качестве полезной нагрузки SprySOCKS устанавливает пакеты Cobalt Strike и Winnti. Первый — это комплект для поиска и эксплуатации уязвимостей; второй, которому уже более десяти лет, — связывается с китайскими властями. Есть версия, что работающая преимущественно по азиатским целям группировка Earth Lusca нацелена на хищение денежных средств, потому что её жертвами часто оказываются компании, которые занимаются азартными играми и криптовалютами.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
Додайте до свого раціону цей горіх, якщо не хочете старіти: дослідження показали — він дуже ефективний 1 февраля 2025
Багато хто сприймає волоські горіхи лише як смачне перекушування, хоча насправді вони мають унікальні корисні властивості.
Олександр "Терен" назвав причину свого раптового зникнення з соцмереж 1 февраля 2025
"Повинен пояснити, чому так сталося": Олександр "Терен" назвав причину свого раптового зникнення з соцмереж Зірка "Холостяка" подякувала шанувальникам за занепокоєння
"Замінував" низку об’єктів інфраструктури Києва: поліцейські затримали зловмисника 1 февраля 2025
"Замінував" низку об’єктів інфраструктури Києва: поліцейські затримали зловмисника. Фото Суд обрав йому запобіжний захід у вигляді тримання під вартою
5.0
0.4