Ճապոնական Trend Micro ընկերության մասնագետները, որը մասնագիտացած է կիբերանվտանգության հարցերում, հայտնաբերել են SprySOCKS վնասակար ծրագիրը, որն օգտագործվում է Linux-ի ընտանիքի համակարգերով աշխատող մեքենաների վրա հարձակվելու համար։
Նոր չարամիտ ծրագիրը գալիս է Windows Backdoor Trochilus-ից, հայտնաբերվել է 2015 թվականին Arbor Networks ընկերության հետազոտողների կողմից այն գործարկվել և գործարկվել է միայն հիշողության մեջ, և դրա օգտակար բեռը չի պահվում սկավառակների վրա, ինչը զգալիորեն բարդացնում է հայտնաբերումը: Այս տարվա հունիսին Trend Micro-ի հետազոտողները հայտնաբերել են «libmonitor.so.2» անունով ֆայլ սերվերի վրա, որն օգտագործվում էր մի խմբի կողմից, որի գործունեությունը նրանք վերահսկում էին 2021 թվականից: VirusTotal տվյալների բազայում նրանք հայտնաբերել են «mkmon» գործարկվող ֆայլը, որն օգնեց վերծանել «libmonitor.so.2»-ը և բացահայտել դրա օգտակար բեռը:
Պարզվեց, որ սա Linux-ի համար բարդ վնասակար ծրագիր է, որի ֆունկցիոնալությունը մասամբ համընկնում է Trochilus-ի հնարավորությունների հետ և ունի Socket Secure (SOCKS) արձանագրության օրիգինալ իրականացում, ուստի չարամիտ ծրագրին տրվել է SprySOCKS անունը: Այն թույլ է տալիս հավաքել տեղեկություններ համակարգի մասին, գործարկել հեռակառավարման հրամանի միջերես (կեղև), ձևավորել ցանցային կապերի ցուցակ, տեղադրել պրոքսի սերվեր՝ հիմնված SOCKS արձանագրության վրա՝ վտանգված համակարգի և հարձակվողի հրամանի սերվերի միջև տվյալների փոխանակման համար, և կատարել այլ գործողություններ: Չարամիտ ծրագրի տարբերակները նշելը հուշում է, որ այն դեռ մշակման փուլում է։
Հետազոտողները ենթադրում են, որ SprySOCKS-ը օգտագործվում է Earth Lusca խմբի հաքերների կողմից. այն առաջին անգամ հայտնաբերվել է 2021 թվականին, իսկ մեկ տարի անց այն հայտնվել է կիբերհանցագործների ցուցակում։ Խումբը օգտագործում է սոցիալական ինժեներական մեթոդներ համակարգերը վարակելու համար: SprySOCKS-ը տեղադրում է Cobalt Strike և Winnti փաթեթները որպես օգտակար բեռներ: Առաջինը խոցելիությունները գտնելու և շահագործելու փաթեթ է. երկրորդը, որն ավելի քան տասը տարեկան է, կապ է հաստատում Չինաստանի իշխանությունների հետ։ Կա վարկած, որ Earth Lusca խումբը, որն աշխատում է հիմնականում ասիական թիրախների հետ, նպատակ ունի յուրացնել միջոցներ, քանի որ դրա զոհերը հաճախ մոլախաղերով և կրիպտոարժույթներով զբաղվող ընկերություններ են։
Կարդացեք նաև.
- Microsoft մեղադրվում էր կիբերանվտանգության «կոռեկտիվ անտեսման» մեջ
- Հաքերներն անջատել են ամենաժամանակակից աստղադիտարաններից մեկը