Eksperti no Japānas uzņēmuma Trend Micro, kas specializējas kiberdrošības jautājumos, atklāja kaitīgo programmu SprySOCKS, kas tiek izmantota, lai uzbruktu mašīnām, kurās darbojas Linux saimes sistēmas.
Jaunā ļaunprogrammatūra nāk no Windows aizmugures durvīm Trochilus, atklāja 2015. gadā kompānijas Arbor Networks pētnieki, tas tiek palaists un izpildīts tikai atmiņā, un tā kravnesība netiek glabāta diskos, kas būtiski apgrūtina noteikšanu. Šā gada jūnijā Trend Micro pētnieki atklāja failu ar nosaukumu “libmonitor.so.2” serverī, ko izmantoja grupa, kuras darbību viņi bija uzraudzījuši kopš 2021. gada. VirusTotal datubāzē viņi atklāja saistīto izpildāmo failu “mkmon”, kas palīdzēja atšifrēt “libmonitor.so.2” un atklāt tā lietderīgo slodzi.
Izrādījās, ka šī ir sarežģīta Linux kaitīgā programma, kuras funkcionalitāte daļēji sakrīt ar Trochilus iespējām un tai ir oriģināla Socket Secure (SOCKS) protokola realizācija, tāpēc ļaunprogrammatūrai tika dots nosaukums SprySOCKS. Tas ļauj apkopot informāciju par sistēmu, palaist attālās pārvaldības komandu saskarni (apvalku), izveidot tīkla savienojumu sarakstu, izvietot starpniekserveri, kura pamatā ir SOCKS protokols, lai apmainītos ar datiem starp apdraudēto sistēmu un uzbrucēja komandu serveri un veikt citas operācijas. Ļaunprātīgās programmatūras versiju precizēšana liecina, ka tā joprojām ir izstrādes stadijā.
Pētnieki liek domāt, ka SprySOCKS izmanto hakeri no Earth Lusca grupas – pirmo reizi tas tika atklāts 2021. gadā, bet gadu vēlāk tas parādījās kibernoziedznieku sarakstā. Grupa izmanto sociālās inženierijas metodes, lai inficētu sistēmas. SprySOCKS instalē Cobalt Strike un Winnti pakotnes kā lietderīgās kravas. Pirmais ir komplekts ievainojamību atrašanai un izmantošanai; otrais, kas ir vairāk nekā desmit gadus vecs, sazinās ar Ķīnas iestādēm. Pastāv versija, ka Earth Lusca grupa, kas strādā galvenokārt ar Āzijas mērķiem, tiecas piesavināties līdzekļus, jo tās upuri nereti ir ar azartspēlēm un kriptovalūtām saistīti uzņēmumi.
Lasi arī:
- Microsoft tika apsūdzēts kiberdrošības "kliedzošā nevērībā".
- Hakeri atspējoja vienu no modernākajām astronomiskajām observatorijām