Experten des auf Cybersicherheitsthemen spezialisierten japanischen Unternehmens Trend Micro haben das Schadprogramm SprySOCKS entdeckt, mit dem Rechner der Linux-Systemfamilie angegriffen werden.
Die neue Schadsoftware stammt von der Windows-Backdoor Trochilus. entdeckt 2015 von Forschern des Unternehmens Arbor Networks entdeckt, wird es nur im Speicher gestartet und ausgeführt, und seine Nutzlast wird nicht auf Festplatten gespeichert, was die Erkennung erheblich erschwert. Im Juni dieses Jahres entdeckten Forscher von Trend Micro eine Datei mit dem Namen „libmonitor.so.2“ auf einem Server, der von einer Gruppe verwendet wurde, deren Aktivitäten sie seit 2021 überwacht hatten. In der VirusTotal-Datenbank entdeckten sie die zugehörige ausführbare Datei „mkmon“, die dabei half, „libmonitor.so.2“ zu entschlüsseln und seine Nutzlast offenzulegen.
Es stellte sich heraus, dass es sich um ein komplexes Schadprogramm für Linux handelte, dessen Funktionalität teilweise mit den Fähigkeiten von Trochilus übereinstimmt und über eine ursprüngliche Implementierung des Socket Secure (SOCKS)-Protokolls verfügt, weshalb die Malware den Namen SprySOCKS erhielt. Es ermöglicht Ihnen, Informationen über das System zu sammeln, eine Remote-Management-Befehlsschnittstelle (Shell) zu starten, eine Liste von Netzwerkverbindungen zu erstellen, einen Proxyserver basierend auf dem SOCKS-Protokoll bereitzustellen, um Daten zwischen dem kompromittierten System und dem Befehlsserver des Angreifers auszutauschen, und andere Operationen durchführen. Die Angabe der Versionen der Malware deutet darauf hin, dass sie sich noch in der Entwicklung befindet.
Forscher vermuten, dass SprySOCKS von Hackern der Earth-Lusca-Gruppe verwendet wird – es wurde erstmals im Jahr 2021 entdeckt und erschien ein Jahr später auf der Liste der Cyberkriminellen. Die Gruppe nutzt Social-Engineering-Methoden, um Systeme zu infizieren. SprySOCKS installiert die Pakete Cobalt Strike und Winnti als Payloads. Das erste ist ein Kit zum Auffinden und Ausnutzen von Schwachstellen. der zweite, der mehr als zehn Jahre alt ist, kontaktiert die chinesischen Behörden. Es gibt eine Version, dass die Earth-Lusca-Gruppe, die hauptsächlich mit asiatischen Zielen zusammenarbeitet, darauf abzielt, Gelder zu veruntreuen, da ihre Opfer häufig Unternehmen sind, die sich mit Glücksspielen und Kryptowährungen befassen.
Lesen Sie auch:
- Microsoft wurde „eklatante Vernachlässigung“ der Cybersicherheit vorgeworfen
- Hacker haben eines der modernsten astronomischen Observatorien lahmgelegt