מומחים של חברת Trend Micro היפנית, המתמחה בנושאי אבטחת סייבר, גילו את התוכנה הזדונית SprySOCKS, המשמשת לתקיפת מכונות המרצות את משפחת מערכות לינוקס.
התוכנה הזדונית החדשה מגיעה מהדלת האחורית של Windows Trochilus, גילה 2015 על ידי חוקרים מחברת Arbor Networks, הוא מושק ומבוצע רק בזיכרון, והמטען שלו אינו מאוחסן על דיסקים, מה שמקשה על הגילוי בצורה משמעותית. ביוני השנה, חוקרי Trend Micro גילו קובץ בשם "libmonitor.so.2" בשרת המשמש קבוצה שעל פעילותה הם עקבו מאז 2021. במסד הנתונים של VirusTotal, הם גילו את קובץ ההפעלה המשויך "mkmon", שעזר לפענח את "libmonitor.so.2" ולחשוף את המטען שלו.
התברר שמדובר בתוכנה זדונית מורכבת ללינוקס, שהפונקציונליות שלה עולה בקנה אחד עם היכולות של Trochilus ויש לה יישום מקורי של פרוטוקול Socket Secure (SOCKS), כך שהתוכנה הזדונית קיבלה את השם SprySOCKS. זה מאפשר לך לאסוף מידע על המערכת, להפעיל ממשק פקודות ניהול מרחוק (מעטפת), ליצור רשימה של חיבורי רשת, לפרוס שרת פרוקסי המבוסס על פרוטוקול SOCKS כדי להחליף נתונים בין המערכת שנפרצה לשרת הפקודות של התוקף, וכן לבצע פעולות אחרות. ציון הגרסאות של התוכנה הזדונית מצביע על כך שהיא עדיין בפיתוח.
חוקרים מציעים ש-SprySOCKS משמש האקרים מקבוצת Earth Lusca - הוא התגלה לראשונה בשנת 2021, והוא הופיע ברשימת פושעי הסייבר שנה לאחר מכן. הקבוצה משתמשת בשיטות הנדסה חברתית כדי להדביק מערכות. SprySOCKS מתקין את החבילות Cobalt Strike ו-Winnti כמטענים. הראשון הוא ערכה לאיתור וניצול פגיעויות; השני, בן יותר מעשר שנים, פונה לרשויות הסיניות. יש גרסה שקבוצת Earth Lusca, שעובדת בעיקר עם מטרות אסייתיות, שמה לה למטרה למעילה בכספים, מכיוון שהקורבנות שלה הם לרוב חברות העוסקות בהימורים ובמטבעות קריפטוגרפיים.
קרא גם:
- Microsoft הואשם ב"הזנחה בוטה" של אבטחת סייבר
- האקרים השביתו את אחד ממצפי הכוכבים האסטרונומיים המודרניים ביותר