'Earth Lusca' olarak izlenen Çin casusluğu odaklı bir hacker, 'Sprysocks' adlı yeni bir Linux arka kapı kullanılarak birden fazla ülkede devlet kurumlarını hedefleyen gözlendi.
Trend Micro'nun yeni arka kapıyı analizi, bunun Trochilus açık kaynaklı Windows kötü amaçlı yazılımından kaynaklandığını gösterdi ve işlevlerinin birçoğu Linux sistemlerinde çalışmaya taşındı.
Bununla birlikte, kötü amaçlı yazılım, Sprysocks'un Komut ve Kontrol Sunucusu (C2) iletişim protokolü, bir Windows Backdoor olan Redleaves'e benzer olduğu için birden fazla kötü amaçlı yazılım karışımı gibi görünmektedir. Buna karşılık, interaktif kabuğun uygulanması bir Linux kötü amaçlı yazılım olan Derusbi'den türetilmiş gibi görünmektedir.
Dünya Lusca, yılın ilk yarısında aktif kaldı ve Güneydoğu Asya, Orta Asya, Balkanlar ve dünya çapında dışişleri, teknoloji ve telekomünikasyonlara odaklanan kilit hükümet kuruluşlarını hedef aldı.
Trend Micro, 2019 ve 2022 yılları arasında internete maruz kalan uç noktaları etkileyen birkaç N-Day kimlik doğrulanmamış uzaktan kod yürütme kusurları için sömürü girişimlerini gördüğünü bildiriyor.
Bu kusurlar, ihlal edilen ağa uzaktan erişim sağlayan kobalt grev işaretlerini düşürmek için kullanılır. Bu erişim, dosyaları tüketirken, hesap kimlik bilgilerini çalmak ve ShadowPad gibi ek yükler dağıtılırken ağa yanal olarak yayılmak için kullanılır.
Tehdit aktörleri ayrıca, 'Libmonitor.so.2' adlı bir dosya şeklinde hedeflenen makinelere gelen Linux elf enjektörünün "mandibule" adlı bir varyant olan Sprysocks Loader'ı bırakmak için Cobalt Strike Beacons'ı kullanıyor.
Trend Micro'nun araştırmacıları, saldırganların mandibule'yi ihtiyaçları için uyarladığını, ancak biraz acele bir şekilde, hata ayıklama mesajlarını ve sembolleri geride bıraktığını söylüyor.
Yükleyici, bir Linux çekirdeği işçisi iş parçacığını andırarak algılamayı önlemek için "Kworker/0: 22" adı altında çalışır, ikinci aşama yükün (sprysocks) şifresini çözer ve enfekte bilgisayarda kalıcılık oluşturur.
Sprysocks Backdoor, çalışması için 'HP-Socket' adlı yüksek performanslı bir ağ çerçevesi kullanırken, C2 ile TCP iletişimi AES-ECB şifrelenir.
Bu yeni kötü amaçlı yazılımın ana arka kapı işlevleri şunlardır:
Kötü amaçlı yazılım ayrıca, ilk listelenen ağ arayüzünün MAC adresini ve bazı CPU özelliklerini kullanarak bir istemci kimliği (kurban numarası) oluşturur ve ardından 28 baytlık bir onaltılık dizeye dönüştürür.
Trend Micro raporları, iki sprysocks, v1.1 ve v.1.3.6 sürümünü örneklediğini ve bu da kötü amaçlı yazılımların aktif gelişimini gösteriyor.
Kuruluşlar için önerilen öncelik, mevcut güvenlik güncellemelerini, bu durumda Dünya Lusca'dan ilk uzlaşmayı önleyecek kamuya açık sunucu ürünleri üzerinde uygulamak olmalıdır.
Microsoft: Gizli Keten Typhoon Hacker'ları algılamadan kaçmak için lolbins kullanıyor
Ücretsiz İndir Manager sitesi Linux kullanıcılarını yıllarca kötü amaçlı yazılımlara yönlendirdi
İran Apt33, ABD Cybercom Sorunları Uyarısı tarafından sömürülen görünüm kusuru
Google Play'de Truva Sinyali ve Telgraf Uygulamaları Teslim Edildi Casus Yazılım
Barracuda sıfır gün saldırılarında hacklenen ABD govt e-posta sunucuları
Kaynak: Bleeping Computer