Исследователи обнаружили ранее не встречавшийся бэкдор для Linux, который используется злоумышленником, связанным с правительством Китая.
Новый бэкдор создан на основе бэкдора Windows под названием Trochilus, который был впервые увидел в 2015 году исследователями из Arbor Networks, ныне известной как Netscout. Они сказали, что Trochilus выполнялся и запускался только в памяти, а окончательная полезная нагрузка в большинстве случаев никогда не появлялась на дисках. Это затрудняло обнаружение вредоносного ПО. Исследователи из NHS Digital в Великобритании сказал Trochilus был разработан APT10, передовой группой постоянных угроз, связанной с китайским правительством и также известной как Stone Panda и MenuPass.
Другие группы в конечном итоге использовали его, и его исходный код был был доступен на GitHub более шести лет. Было замечено, что Trochilus использовался в кампаниях, в которых использовалась отдельная вредоносная программа, известная как RedLeaves.
В июне исследователи из охранной компании Trend Micro обнаружили зашифрованный двоичный файл на сервере, который, как известно, использовался группой, которую они отслеживали с 2021 года. Выполнив поиск в VirusTotal по имени файла libmonitor.so.2, исследователи обнаружили исполняемый файл Linux с именем «mkmon». Этот исполняемый файл содержал учетные данные, которые можно было использовать для расшифровки файла libmonitor.so.2 и восстановления его исходной полезной нагрузки, что привело исследователей к выводу, что «mkmon» — это установочный файл, который доставил и расшифровал libmonitor.so.2.
Вредоносная программа для Linux перенесла несколько функций, обнаруженных в Trochilus, и объединила их с новой реализацией Socket Secure (SOCKS). Исследователи Trend Micro в конечном итоге назвали свое открытие SprySOCKS, где «spry» означает его быстрое поведение и добавленный компонент SOCKS.
SprySOCKS реализует обычные возможности бэкдора, включая сбор информации о системе, открытие интерактивной удаленной оболочки для управления скомпрометированными системами, составление списка сетевых подключений и создание прокси на основе протокола SOCKS для загрузки файлов и других данных между скомпрометированной системой и контролируемой злоумышленником системой. командный сервер. В следующей таблице показаны некоторые возможности:
Идентификатор сообщения | Примечания |
---|---|
0x09 | Получает информацию о машине |
0x0a | Запускает интерактивную оболочку |
0x0b | Записывает данные в интерактивную оболочку |
0x0d | Останавливает интерактивную оболочку |
0x0e | Перечисляет сетевые подключения (параметры: «ip», «port», «commName», «connectType»). |
0x0f | Отправляет пакет (параметр: «цель») |
0x14, 0x19 | Отправляет пакет инициализации |
0x16 | Генерирует и устанавливает clientid |
0x17 | Перечисляет сетевые подключения (параметры: «tcp_port», «udp_port», «http_port», «listen_type», «listen_port»). |
0x23 | Создает SOCKS-прокси. |
0x24 | Завершает SOCKS-прокси |
0x25 | Пересылает данные прокси SOCKS |
0x2a | Загружает файл (параметры: «transfer_id», «размер») |
0x2b | Получает идентификатор передачи файла |
0x2c | Загружает файл (параметры: «state», «transferId», «packageId», «packageCount», «file_size») |
0x2d | Получает статус передачи (параметры: «state», «transferId», «result», «packageId») |
0x3c | Перечисляет файлы в корне / |
0x3d | Перечисляет файлы в каталоге |
0x3e | Удаляет файл |
0x3f | Создает каталог |
0x40 | Переименовывает файл |
0x41 | Нет операции |
0x42 | Относится к операциям 0x3c – 0x40 (srcPath, destPath). |
Расшифровав двоичный файл и обнаружив SprySOCKS, исследователи использовали полученную информацию для поиска связанных файлов в VirusTotal. В результате поиска была обнаружена версия вредоносного ПО с номером выпуска 1.1. Trend Micro обнаружила версию 1.3.6. Множество версий позволяют предположить, что бэкдор в настоящее время находится в стадии разработки.
Сервер управления и контроля, к которому подключается SprySOCKS, во многом похож на сервер, который использовался в кампании с другим вредоносным ПО для Windows, известным как RedLeaves. Как и SprySOCKS, RedLeaves также был основан на Trochilus. Строки, которые появляются как в Trochilus, так и в RedLeaves, также появляются в компоненте SOCKS, добавленном в SprySOCKS. Код SOCKS был заимствован из HP-розеткавысокопроизводительная сетевая платформа китайского происхождения.
Trend Micro приписывает SprySOCKS злоумышленнику, которого компания назвала Earth Lusca. Исследователи обнаружили группу в 2021 году и задокументировано это в следующем году. Earth Lusca нацелена на организации по всему миру, в первую очередь на правительства стран Азии. Он использует социальную инженерию, чтобы заманить жертвы на места, где жертвы заражены вредоносным ПО. Помимо проявления интереса к шпионской деятельности, Земля Луска, судя по всему, финансово мотивирована и нацелена на компании, занимающиеся азартными играми и криптовалютами.
Тот же сервер Earth Lusca, на котором размещался SprySOCKS, также доставлял полезные нагрузки, известные как Cobalt Strike и Winnti. Cobalt Strike — это хакерский инструмент, используемый как специалистами по безопасности, так и злоумышленниками. Он предоставляет полный набор инструментов для поиска и эксплуатации уязвимостей. Земля Луска использовала его, чтобы расширить свой доступ после получения первоначальной точки опоры внутри целевой среды. Winnti, между тем, — это название одновременно набора вредоносных программ, которые используются уже более десяти лет, а также идентификатор множества отдельных групп угроз, связанных с разведывательным аппаратом китайского правительства, который входит в число самые плодовитые хакерские синдикаты.
В отчете Trend Micro, опубликованном в понедельник, представлены IP-адреса, хэши файлов и другие доказательства, которые люди могут использовать, чтобы определить, были ли они скомпрометированы.
2023-09-18 23:25:04
1695106272
#Китайские #хакеры #создали #невиданный #ранее #бэкдор #для #Linux