Kibernetinio saugumo klausimais besispecializuojančios Japonijos įmonės „Trend Micro“ ekspertai aptiko kenkėjišką programą „SprySOCKS“, kuri naudojama atakuoti „Linux“ šeimos sistemų įrenginius.
Nauja kenkėjiška programa yra iš Windows Backdoor Trochilus, atrado 2015 m., „Arbor Networks“ kompanijos mokslininkų, jis paleidžiamas ir vykdomas tik atmintyje, o jo naudingoji apkrova nesaugoma diskuose, o tai gerokai apsunkina aptikimą. Šių metų birželį „Trend Micro“ tyrėjai aptiko failą pavadinimu „libmonitor.so.2“ serveryje, kurį naudojo grupė, kurios veiklą jie stebėjo nuo 2021 m. VirusTotal duomenų bazėje jie aptiko susijusį vykdomąjį failą „mkmon“, kuris padėjo iššifruoti „libmonitor.so.2“ ir atskleisti jo naudingąją apkrovą.
Paaiškėjo, kad tai sudėtinga kenkėjiška programa Linux, kurios funkcionalumas iš dalies sutampa su Trochilus galimybėmis ir turi originalų Socket Secure (SOCKS) protokolo įgyvendinimą, todėl kenkėjiška programa gavo pavadinimą SprySOCKS. Tai leidžia rinkti informaciją apie sistemą, paleisti nuotolinio valdymo komandų sąsają (apvalkalą), sudaryti tinklo jungčių sąrašą, įdiegti tarpinį serverį, pagrįstą SOCKS protokolu, kad būtų galima keistis duomenimis tarp pažeistos sistemos ir užpuoliko komandų serverio ir atlikti kitas operacijas. Nurodant kenkėjiškos programos versijas galima daryti prielaidą, kad ji vis dar kuriama.
Tyrėjai teigia, kad „SprySOCKS“ naudoja įsilaužėliai iš „Earth Lusca“ grupės – ji pirmą kartą buvo atrasta 2021 m., o po metų ji atsidūrė kibernetinių nusikaltėlių sąraše. Grupė naudoja socialinės inžinerijos metodus sistemoms užkrėsti. „SprySOCKS“ įdiegia „Cobalt Strike“ ir „Winnti“ paketus kaip naudingus krovinius. Pirmasis yra rinkinys, skirtas pažeidžiamumui rasti ir išnaudoti; antroji, kuriai daugiau nei dešimt metų, susisiekia su Kinijos valdžia. Egzistuoja versija, kad daugiausia su Azijos taikiniais dirbanti „Earth Lusca“ grupė siekia pasisavinti lėšas, nes jos aukomis dažnai tampa su azartiniais lošimais ir kriptovaliutomis susijusios įmonės.
Taip pat skaitykite:
- Microsoft buvo apkaltintas kibernetinio saugumo „akivaizdžiu aplaidumu“.
- Piratai išjungė vieną moderniausių astronomijos observatorijų