Китайские хакеры создали невиданный ранее бэкдор для Linux

Исследователи обнаружили ранее не встречавшийся бэкдор для Linux, который используется злоумышленником, связанным с правительством Китая.

Новый бэкдор создан на основе бэкдора Windows под названием Trochilus, который был впервые увидел в 2015 году исследователями из Arbor Networks, ныне известной как Netscout. Они сказали, что Trochilus выполнялся и запускался только в памяти, а окончательная полезная нагрузка в большинстве случаев никогда не появлялась на дисках. Это затрудняло обнаружение вредоносного ПО. Исследователи из NHS Digital в Великобритании сказал Trochilus был разработан APT10, передовой группой постоянных угроз, связанной с китайским правительством и также известной как Stone Panda и MenuPass.

Другие группы в конечном итоге использовали его, и его исходный код был был доступен на GitHub более шести лет. Было замечено, что Trochilus использовался в кампаниях, в которых использовалась отдельная вредоносная программа, известная как RedLeaves.

В июне исследователи из охранной компании Trend Micro обнаружили зашифрованный двоичный файл на сервере, который, как известно, использовался группой, которую они отслеживали с 2021 года. Выполнив поиск в VirusTotal по имени файла libmonitor.so.2, исследователи обнаружили исполняемый файл Linux с именем «mkmon». Этот исполняемый файл содержал учетные данные, которые можно было использовать для расшифровки файла libmonitor.so.2 и восстановления его исходной полезной нагрузки, что привело исследователей к выводу, что «mkmon» — это установочный файл, который доставил и расшифровал libmonitor.so.2.

Вредоносная программа для Linux перенесла несколько функций, обнаруженных в Trochilus, и объединила их с новой реализацией Socket Secure (SOCKS). Исследователи Trend Micro в конечном итоге назвали свое открытие SprySOCKS, где «spry» означает его быстрое поведение и добавленный компонент SOCKS.

SprySOCKS реализует обычные возможности бэкдора, включая сбор информации о системе, открытие интерактивной удаленной оболочки для управления скомпрометированными системами, составление списка сетевых подключений и создание прокси на основе протокола SOCKS для загрузки файлов и других данных между скомпрометированной системой и контролируемой злоумышленником системой. командный сервер. В следующей таблице показаны некоторые возможности:

Идентификатор сообщения	Примечания
0x09	Получает информацию о машине
0x0a	Запускает интерактивную оболочку
0x0b	Записывает данные в интерактивную оболочку
0x0d	Останавливает интерактивную оболочку
0x0e	Перечисляет сетевые подключения (параметры: «ip», «port», «commName», «connectType»).
0x0f	Отправляет пакет (параметр: «цель»)
0x14, 0x19	Отправляет пакет инициализации
0x16	Генерирует и устанавливает clientid
0x17	Перечисляет сетевые подключения (параметры: «tcp_port», «udp_port», «http_port», «listen_type», «listen_port»).
0x23	Создает SOCKS-прокси.
0x24	Завершает SOCKS-прокси
0x25	Пересылает данные прокси SOCKS
0x2a	Загружает файл (параметры: «transfer_id», «размер»)
0x2b	Получает идентификатор передачи файла
0x2c	Загружает файл (параметры: «state», «transferId», «packageId», «packageCount», «file_size»)
0x2d	Получает статус передачи (параметры: «state», «transferId», «result», «packageId»)
0x3c	Перечисляет файлы в корне /
0x3d	Перечисляет файлы в каталоге
0x3e	Удаляет файл
0x3f	Создает каталог
0x40	Переименовывает файл
0x41	Нет операции
0x42	Относится к операциям 0x3c – 0x40 (srcPath, destPath).

Расшифровав двоичный файл и обнаружив SprySOCKS, исследователи использовали полученную информацию для поиска связанных файлов в VirusTotal. В результате поиска была обнаружена версия вредоносного ПО с номером выпуска 1.1. Trend Micro обнаружила версию 1.3.6. Множество версий позволяют предположить, что бэкдор в настоящее время находится в стадии разработки.

Сервер управления и контроля, к которому подключается SprySOCKS, во многом похож на сервер, который использовался в кампании с другим вредоносным ПО для Windows, известным как RedLeaves. Как и SprySOCKS, RedLeaves также был основан на Trochilus. Строки, которые появляются как в Trochilus, так и в RedLeaves, также появляются в компоненте SOCKS, добавленном в SprySOCKS. Код SOCKS был заимствован из HP-розеткавысокопроизводительная сетевая платформа китайского происхождения.

Trend Micro приписывает SprySOCKS злоумышленнику, которого компания назвала Earth Lusca. Исследователи обнаружили группу в 2021 году и задокументировано это в следующем году. Earth Lusca нацелена на организации по всему миру, в первую очередь на правительства стран Азии. Он использует социальную инженерию, чтобы заманить жертвы на места, где жертвы заражены вредоносным ПО. Помимо проявления интереса к шпионской деятельности, Земля Луска, судя по всему, финансово мотивирована и нацелена на компании, занимающиеся азартными играми и криптовалютами.

Тот же сервер Earth Lusca, на котором размещался SprySOCKS, также доставлял полезные нагрузки, известные как Cobalt Strike и Winnti. Cobalt Strike — это хакерский инструмент, используемый как специалистами по безопасности, так и злоумышленниками. Он предоставляет полный набор инструментов для поиска и эксплуатации уязвимостей. Земля Луска использовала его, чтобы расширить свой доступ после получения первоначальной точки опоры внутри целевой среды. Winnti, между тем, — это название одновременно набора вредоносных программ, которые используются уже более десяти лет, а также идентификатор множества отдельных групп угроз, связанных с разведывательным аппаратом китайского правительства, который входит в число самые плодовитые хакерские синдикаты.

В отчете Trend Micro, опубликованном в понедельник, представлены IP-адреса, хэши файлов и другие доказательства, которые люди могут использовать, чтобы определить, были ли они скомпрометированы.