Киберқауіпсіздік мәселелерімен айналысатын жапондық Trend Micro компаниясының сарапшылары Linux жүйелерінің тобында жұмыс істейтін машиналарға шабуыл жасау үшін қолданылатын SprySOCKS зиянды бағдарламасын тапты.
Жаңа зиянды бағдарлама Windows Backdoor Trochilus-тен келеді, ашылды 2015 жылы Arbor Networks компаниясының зерттеушілері оны тек жадта іске қосып, орындады, ал оның пайдалы жүктемесі дискілерде сақталмайды, бұл анықтауды айтарлықтай қиындатады. Осы жылдың маусым айында Trend Micro зерттеушілері 2 жылдан бері белсенділігін бақылап отырған топ пайдаланатын серверде «libmonitor.so.2021» атты файлды тапты. VirusTotal дерекқорында олар «libmonitor.so.2» шифрын шешуге және оның пайдалы жүктемесін ашуға көмектесетін «mkmon» байланысты орындалатын файлды тапты.
Бұл Linux үшін күрделі зиянды бағдарлама екені белгілі болды, оның функционалдығы Trochilus мүмкіндіктерімен ішінара сәйкес келеді және Socket Secure (SOCKS) протоколының түпнұсқалық іске асырылуы бар, сондықтан зиянды бағдарлама SprySOCKS атауына ие болды. Ол жүйе туралы ақпаратты жинауға, қашықтан басқару пәрменінің интерфейсін (қабағын) іске қосуға, желілік қосылымдар тізімін құруға, бұзылған жүйе мен шабуылдаушының командалық сервері арасында деректер алмасу үшін SOCKS протоколы негізінде прокси серверді орналастыруға және басқа операцияларды орындау. Зиянды бағдарламаның нұсқаларын көрсету оның әлі де әзірлену үстінде екенін көрсетеді.
Зерттеушілер SprySOCKS-ті Earth Lusca тобының хакерлері пайдаланады деп болжайды - ол алғаш рет 2021 жылы табылды және ол бір жылдан кейін киберқылмыскерлер тізімінде пайда болды. Топ жүйелерді жұқтыру үшін әлеуметтік инженерия әдістерін пайдаланады. SprySOCKS Cobalt Strike және Winnti бумаларын пайдалы жүктеме ретінде орнатады. Біріншісі – осалдықтарды табуға және пайдалануға арналған жинақ; екіншісі, он жылдан астам уақыт Қытай билігімен байланысады. Негізінен азиялық мақсатпен жұмыс істейтін Earth Lusca тобы қаражатты жымқыруды мақсат етеді деген нұсқа бар, өйткені оның құрбандары көбінесе құмар ойындармен және криптовалюталармен айналысатын компаниялар болып табылады.
Сондай-ақ оқыңыз:
- Microsoft киберқауіпсіздікке «өте немқұрайлы қарады» деген айып тағылды
- Хакерлер ең заманауи астрономиялық обсерваториялардың бірін өшірді