Výzkumníci objevili dosud neviděná zadní vrátka pro Linux, která používá hrozba napojená na čínskou vládu.
Nová zadní vrátka pochází z Windows backdoor s názvem Trochilus, který byl poprvé spatřen v roce 2015 výzkumníky z Arbor Networks, nyní známého jako Netscout. Říkali, že Trochilus běžel a běžel pouze v paměti a konečný náklad se na discích ve většině případů nikdy neobjevil. To znesnadnilo detekci malwaru. Výzkumníci z NHS Digital ve Velké Británii uvedli, že Trochilus byl vyvinut společností APT10, skupinou pro pokročilé přetrvávající hrozby napojené na čínskou vládu, která se také jmenuje Stone Panda a MenuPass.
Ostatní skupiny jej nakonec využily a jeho zdrojový kód je na GitHubu k dispozici již více než šest let. Bylo vidět, že Trochilus byl používán v kampaních, které používaly samostatný malware známý jako RedLeaves.
V červnu našli výzkumníci z bezpečnostní firmy Trend Micro zašifrovaný binární soubor na serveru, o kterém je známo, že jej používá skupina, kterou sledovali od roku 2021. Při hledání názvu souboru libmonitor.so.2 ve VirusTotal výzkumníci našli spustitelný soubor pro Linux. soubor s názvem „mkmon“. Tento spustitelný soubor obsahoval přihlašovací údaje, které lze použít k dešifrování souboru libmonitor.so.2 a obnovení jeho původního obsahu, což vedlo výzkumníky k závěru, že „mkmon“ je instalační soubor, který dodal a dešifroval libmonitor.so.2.
Linuxový malware přenesl několik funkcí nalezených v Trochilus a zkombinoval je s novou implementací Socket Secure (SOCKS). Výzkumníci Trend Micro nakonec svůj objev pojmenovali SprySOCKS, přičemž „spry“ označovalo jeho rychlé chování a přidanou komponentu SOCKS.
SprySOCKS implementuje obvyklé funkce zadních vrátek, včetně shromažďování systémových informací, otevření interaktivního vzdáleného shellu pro kontrolu napadených systémů, výpis síťových připojení a vytvoření proxy založené na protokolu SOCKS pro nahrávání souborů a dalších dat mezi systémem kompromitovaným a kontrolovaným útočníkem. . příkazový server. Následující tabulka ukazuje některé funkce:
| ID zprávy | Známky |
|---|---|
| 0x09 | Získá informace o stroji |
| 0x0a | Spustí interaktivní shell |
| 0x0b | Zápis dat do interaktivního shellu |
| 0x0d | Zastaví interaktivní shell |
| 0x0e | Seznam síťových připojení (parametry: „ip“, „port“, „commName“, „connectType“) |
| 0x0f | Odeslat paket (parametr: „target“) |
| 0x14, 0x19 | Odeslat spouštěcí balíček |
| 0x16 | Vygenerujte a definujte clientid |
| 0x17 | Seznam síťových připojení (parametry: „tcp_port“, „udp_port“, „http_port“, „listen_type“, „listen_port“) |
| 0x23 | Vytvořte proxy SOCKS |
| 0x24 | Ukončí proxy SOCKS |
| 0x25 | Předává data proxy SOCKS |
| 0x2a | Nahrajte soubor (parametry: „id transferu“, „velikost“) |
| 0x2b | Získá ID přenosu souborů |
| 0x2c | Stáhnout soubor (parametry: „state“, „transferId“, „packageId“, „packageCount“, „file_size“) |
| 0x2d | Získá stav přenosu (parametry: “state”, “transferId”, “result”, “packageId”) |
| 0x3c | Výčet souborů v root/ |
| 0x3d | Vyjmenuje soubory v adresáři |
| 0x3e | Smaže soubor |
| 0x3f | Vytvořit adresář |
| 0x40 | Přejmenuj soubor |
| 0x41 | Žádné operace |
| 0x42 | Týká se operací 0x3c – 0x40 (srcPath, destPath) |
Po dešifrování binárního souboru a nalezení SprySOCKS výzkumníci použili informace, které našli, k vyhledání souvisejících souborů ve VirusTotal. Jejich výzkum odhalil verzi malwaru s číslem vydání 1.1. Nalezená verze Trend Micro byla 1.3.6. Více verzí naznačuje, že zadní vrátka je v současné době ve vývoji.
Příkazový a řídicí server, ke kterému se SprySOCKS připojuje, má silnou podobnost se serverem, který byl použit v kampani s jiným malwarem Windows známým jako RedLeaves. Stejně jako SprySOCKS byl RedLeaves také založen na Trochilus. Řetězce, které se objevují v Trochilus a RedLeaves, se také objevují v komponentě SOCKS, která byla přidána do SprySOCKS. Kód SOCKS byl vypůjčen od HP-Socket, vysoce výkonného síťového rámce čínského původu.
Trend Micro připisuje SprySOCKS herci ohrožení, kterého nazval Earth Lusca. Vědci skupinu objevili v roce 2021 a zdokumentovali ji následující rok. Earth Lusca se zaměřuje na organizace po celém světě, zejména na vlády v Asii. Využívá sociální inženýrství k nalákání cílů na místa, kde jsou cíle infikovány malwarem. Kromě toho, že projevuje zájem o špionážní aktivity, zdá se, že Earth Lusca je finančně motivovaný, se zaměřením na hazardní hry a společnosti zabývající se kryptoměnami.
Stejný server Earth Lusca, který hostil SprySOCKS, také doručoval užitečné zatížení známé jako Cobalt Strike a Winnti. Cobalt Strike je hackerský nástroj používaný jak bezpečnostními profesionály, tak aktéry hrozeb. Poskytuje kompletní sadu nástrojů pro vyhledávání a zneužívání zranitelností. Země Lusca ji používala k rozšíření svého přístupu poté, co získala počáteční oporu v cílovém prostředí. Mezitím je Winnti název sady malwaru, který se používá více než deset let, stejně jako identifikátor řady různých skupin hrozeb, všechny napojené na zpravodajský aparát čínské vlády, který patří mezi nejznámější v svět. nejplodnější hackerské syndikáty.
Pondělní zpráva Trend Micro poskytuje IP adresy, hashe souborů a další důkazy, které mohou lidé použít k určení, zda byli kompromitováni.