Китайські хакери придумали небачений раніше спосіб прихованої атаки на Linux-системи
20 сентября 2023
Эксперты японской компании Trend Micro, которая специализируется на вопросах кибербезопасности, обнаружили вредоносную программу SprySOCKS, которая используется для атаки на машины под управлением систем семейства Linux.
Источник изображения: Tumisu / pixabay.com
Новый вредонос происходит от Windows-бэкдора Trochilus, обнаруженного в 2015 году исследователями из компании Arbor Networks — он запускается и выполняется только в памяти, а его полезная нагрузка не сохраняется на дисках, что существенно затрудняет обнаружение. В июне этого года исследователи Trend Micro обнаружили на сервере файл с именем «libmonitor.so.2», использовавшийся группой, чью деятельность они отслеживали с 2021 года. В базе VirusTotal они обнаружили связанный с ним исполняемый файл «mkmon», который помог расшифровать «libmonitor.so.2» и раскрыть его полезную нагрузку.
Выяснилось, что это комплексная вредоносная программа под Linux, функциональность которой частично совпадает с возможностями Trochilus и обладает оригинальной реализацией протокола Socket Secure (SOCKS), поэтому вредоносу было присвоено название SprySOCKS. Он позволяет собирать информацию о системе, запускать командный интерфейс удалённого управления (shell), формировать список сетевых подключений, разворачивать прокси-сервер на основе протокола SOCKS для обмена данными между скомпрометированной системой и командным сервером злоумышленника, а также производить другие операции. Указание версий вредоноса позволяет предположить, что он до сих пор находится в разработке.
Исследователи предполагают, что SprySOCKS используют хакеры группировки Earth Lusca — впервые она была обнаружена в 2021 году, а в списке киберпреступников оказалась годом позже. Для заражения систем группировка использует методы социальной инженерии. В качестве полезной нагрузки SprySOCKS устанавливает пакеты Cobalt Strike и Winnti. Первый — это комплект для поиска и эксплуатации уязвимостей; второй, которому уже более десяти лет, — связывается с китайскими властями. Есть версия, что работающая преимущественно по азиатским целям группировка Earth Lusca нацелена на хищение денежных средств, потому что её жертвами часто оказываются компании, которые занимаются азартными играми и криптовалютами.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Читайте также:
"Міс" Апанасенко показалася з 3-місячною дочкою коло ялинки та розказала, скільки скинула після вагітності 27 ноября 2024
Переможниця "Міс Всесвіт Україна"-2022 Вікторія Апанасенко, яка у серпні вперше стала мамою, наробила Різдвяних фото з донькою біля ялинки.
Мадонна з праскою в руках і в обіймах 28-річного коханого епатажно завітала на матч доньок-близнят 27 ноября 2024
Королева епатажу і любляча мама Мадонна
Перехід на новий смартфон став простішим: Google представила Restore Credentials 27 ноября 2024
Перехід на новий смартфон став простішим: Google представила Restore Credentials
5.0
