Deskundigen van het Japanse bedrijf Trend Micro, gespecialiseerd in cyberbeveiligingsproblemen, ontdekten het kwaadaardige programma SprySOCKS, dat wordt gebruikt om machines aan te vallen waarop de Linux-systemen draaien.
De nieuwe malware is afkomstig van de Windows-achterdeur Trochilus, ontdekt In 2015 door onderzoekers van het bedrijf Arbor Networks wordt het alleen in het geheugen gelanceerd en uitgevoerd, en de payload wordt niet op schijven opgeslagen, wat de detectie aanzienlijk bemoeilijkt. In juni van dit jaar ontdekten onderzoekers van Trend Micro een bestand met de naam “libmonitor.so.2” op een server die werd gebruikt door een groep waarvan ze de activiteit sinds 2021 in de gaten hielden. In de VirusTotal-database ontdekten ze het bijbehorende uitvoerbare bestand “mkmon”, dat hielp bij het decoderen van “libmonitor.so.2” en de lading ervan onthulde.
Het bleek dat dit een complex kwaadaardig programma voor Linux is, waarvan de functionaliteit gedeeltelijk samenvalt met de mogelijkheden van Trochilus en een originele implementatie heeft van het Socket Secure (SOCKS) protocol, dus de malware kreeg de naam SprySOCKS. Hiermee kunt u informatie over het systeem verzamelen, een opdrachtinterface voor extern beheer (shell) starten, een lijst met netwerkverbindingen samenstellen, een proxyserver inzetten op basis van het SOCKS-protocol om gegevens uit te wisselen tussen het gecompromitteerde systeem en de opdrachtserver van de aanvaller, en andere handelingen uitvoeren. Het specificeren van de versies van de malware suggereert dat deze nog in ontwikkeling is.
Onderzoekers suggereren dat SprySOCKS wordt gebruikt door hackers van de Earth Lusca-groep. Het werd voor het eerst ontdekt in 2021 en verscheen een jaar later op de lijst van cybercriminelen. De groep gebruikt social engineering-methoden om systemen te infecteren. SprySOCKS installeert de Cobalt Strike- en Winnti-pakketten als payloads. De eerste is een kit voor het vinden en exploiteren van kwetsbaarheden; de tweede, die meer dan tien jaar oud is, neemt contact op met de Chinese autoriteiten. Er is een versie waarin de Earth Lusca-groep, die voornamelijk met Aziatische doelwitten werkt, geld wil verduisteren omdat de slachtoffers vaak gok- en cryptocurrency-bedrijven zijn.
Lees ook:
- Microsoft werd beschuldigd van "flagrante verwaarlozing" van cyberveiligheid
- Hackers hebben een van de modernste astronomische observatoria uitgeschakeld