Новости SprySOCKS: китайское предупреждение для мировых правительств

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Уязвимости в госсистемах дают полную свободу действий для нового вредоносного ПО.


7kyhj0g13kh2xqfr8gvl19poqamyb2c0.jpg


Китайская хакерская группа Earth Lusca была замечена в атаках на правительственные органы в разных странах. Эксперты компании Trend Micro Для просмотра ссылки Войди или Зарегистрируйся новый Linux-бэкдор SprySOCKS, который используется в этих атаках.

SprySOCKS является разновидностью RAT -трояна для Windows Для просмотра ссылки Войди или Зарегистрируйся , многие функции которого были портированы для работы на Linux-системах. Однако, бэкдор представляет собой смесь различных вредоносных программ. Протокол коммуникации с сервером управления ( C2-сервер ) похож на троян Для просмотра ссылки Войди или Зарегистрируйся , в то время как интерактивная оболочка была адаптирована из Linux-вредоносного ПО Для просмотра ссылки Войди или Зарегистрируйся .

Earth Lusca оставалась активной на протяжении первой половины года, нацеливаясь на ключевые государственные органы в Юго-Восточной Азии, Центральной Азии, на Балканах и в других регионах мира. Хакеры фокусировались на органах, отвечающих за внешнюю политику, технологии и телекоммуникации.

Методы атаки

Хакеры эксплуатировали несколько уязвимостей удаленного выполнения кода, датированных между 2019 и 2022 годами, влияя на доступные в сети конечные точки. Недостатки использовались для развертывания маяков Cobalt Strike , которые позволяют удаленно получить доступ к целевой сети.


cpluxqs2m61fb0rs7wdb2v67d4v7cucc.png


Уязвимости, используемые Earth Lusca

Полученный доступ использовался для бокового перемещения (Lateral Movement) по сети, кражи файлов и учетных данных, а также для развертывания дополнительных полезных нагрузок, таких как ShadowPad.

Технические детали

SprySOCKS использует высокопроизводительный сетевой фреймворк HP-Socket для своей работы, а его TCP -коммуникации с C2-сервером зашифрованы с помощью AES -ECB. Основные функции нового вредоносного ПО включают в себя сбор информации о системе, запуск интерактивной оболочки, управление SOCKS -прокси и базовые манипуляции с файлами.

Рекомендации

Приоритетом для организаций должно быть применение доступных обновлений безопасности на публично доступных серверных продуктах, что в данном случае предотвратит первоначальную компрометацию от Earth Lusca.

Эксперты Trend Micro отмечают активное развитие вредоносного ПО, поскольку были обнаружены две версии SprySOCKS: v1.1 и v.1.3.6. Исследователи также указывают на то, что атакующие адаптировали инжектор Linux ELF под названием «mandibule», оставив за собой отладочные сообщения и символы, что может указывать на спешку в разработке ПО.

Информация подчеркивает необходимость постоянного мониторинга и обновления систем безопасности для защиты от все более сложных и разнообразных угроз в современном мире.
 
Источник новости
www.securitylab.ru

Похожие темы