.
Pesquisadores descobriram um backdoor nunca antes visto para Linux que está sendo usado por um agente de ameaça ligado ao governo chinês.
O novo backdoor se origina de um backdoor do Windows chamado Trochilus, que foi visto pela primeira vez em 2015 por pesquisadores da Arbor Networks, agora conhecida como Netscout. Eles disseram que o Trochilus era executado e executado apenas na memória, e a carga final nunca aparecia nos discos na maioria dos casos. Isso tornou o malware difícil de detectar. Pesquisadores do NHS Digital no Reino Unido disseram que o Trochilus foi desenvolvido pelo APT10, um grupo avançado de ameaças persistentes ligado ao governo chinês que também atende pelos nomes Stone Panda e MenuPass.
Outros grupos eventualmente o utilizaram, e seu código-fonte está disponível no GitHub há mais de seis anos. O Trochilus foi visto sendo usado em campanhas que usaram um malware separado conhecido como RedLeaves.
Em junho, pesquisadores da empresa de segurança Trend Micro encontraram um arquivo binário criptografado em um servidor conhecido por ser usado por um grupo que eles vinham rastreando desde 2021. Ao pesquisar no VirusTotal pelo nome do arquivo, libmonitor.so.2, os pesquisadores localizaram um arquivo executável do Linux chamado “mkmon”. Este executável continha credenciais que poderiam ser usadas para descriptografar o arquivo libmonitor.so.2 e recuperar sua carga original, levando os pesquisadores a concluir que “mkmon” é um arquivo de instalação que entregou e descriptografou o libmonitor.so.2.
O malware Linux portou diversas funções encontradas no Trochilus e as combinou com uma nova implementação do Socket Secure (SOCKS). Os pesquisadores da Trend Micro eventualmente chamaram sua descoberta de SprySOCKS, com “spry” denotando seu comportamento rápido e o componente SOCKS adicionado.
SprySOCKS implementa os recursos usuais de backdoor, incluindo coleta de informações do sistema, abertura de um shell remoto interativo para controlar sistemas comprometidos, listagem de conexões de rede e criação de um proxy baseado no protocolo SOCKS para upload de arquivos e outros dados entre o sistema comprometido e o controlado pelo invasor. servidor de comando. A tabela a seguir mostra alguns dos recursos:
| ID da mensagem | Notas |
|---|---|
| 0x09 | Obtém informações da máquina |
| 0x0a | Inicia o shell interativo |
| 0x0b | Grava dados em shell interativo |
| 0x0d | Interrompe o shell interativo |
| 0x0e | Lista conexões de rede (parâmetros: “ip”, “porta”, “commName”, “connectType”) |
| 0x0f | Envia pacote (parâmetro: “target”) |
| 0x14, 0x19 | Envia pacote de inicialização |
| 0x16 | Gera e define clientid |
| 0x17 | Lista conexões de rede (parâmetros: “tcp_port”, “udp_port”, “http_port”, “listen_type”, “listen_port”) |
| 0x23 | Cria proxy SOCKS |
| 0x24 | Termina o proxy SOCKS |
| 0x25 | Encaminha dados de proxy SOCKS |
| 0x2a | Carrega arquivo (parâmetros: “transfer_id”, “size”) |
| 0x2b | Obtém ID de transferência de arquivo |
| 0x2c | Arquivo de download (parâmetros: “state”, “transferId”, “packageId”, “packageCount”, “file_size”) |
| 0x2d | Obtém o status da transferência (parâmetros: “state”, “transferId”, “result”, “packageId”) |
| 0x3c | Enumera arquivos em root / |
| 0x3d | Enumera arquivos no diretório |
| 0x3e | Exclui arquivo |
| 0x3f | Cria diretório |
| 0x40 | Renomeia arquivo |
| 0x41 | Nenhuma operação |
| 0x42 | Está relacionado às operações 0x3c – 0x40 (srcPath, destPath) |
Depois de descriptografar o binário e encontrar o SprySOCKS, os pesquisadores usaram as informações encontradas para pesquisar no VirusTotal por arquivos relacionados. A pesquisa deles revelou uma versão do malware com o número de lançamento 1.1. A versão que a Trend Micro encontrou foi 1.3.6. As múltiplas versões sugerem que o backdoor está atualmente em desenvolvimento.
O servidor de comando e controle ao qual o SprySOCKS se conecta tem grandes semelhanças com um servidor que foi usado em uma campanha com um malware diferente do Windows conhecido como RedLeaves. Assim como o SprySOCKS, o RedLeaves também foi baseado no Trochilus. As strings que aparecem no Trochilus e no RedLeaves também aparecem no componente SOCKS que foi adicionado ao SprySOCKS. O código SOCKS foi emprestado do HP-Socket, uma estrutura de rede de alto desempenho de origem chinesa.
A Trend Micro está atribuindo o SprySOCKS a um ator de ameaça que apelidou de Earth Lusca. Os pesquisadores descobriram o grupo em 2021 e o documentaram no ano seguinte. Earth Lusca tem como alvo organizações em todo o mundo, principalmente em governos da Ásia. Ele usa engenharia social para atrair alvos para locais onde os alvos estão infectados com malware. Além de demonstrar interesse em atividades de espionagem, Earth Lusca parece motivado financeiramente, com foco em empresas de jogos de azar e criptomoedas.
O mesmo servidor Earth Lusca que hospedou o SprySOCKS também entregou as cargas conhecidas como Cobalt Strike e Winnti. Cobalt Strike é uma ferramenta de hacking usada tanto por profissionais de segurança quanto por agentes de ameaças. Ele fornece um conjunto completo de ferramentas para encontrar e explorar vulnerabilidades. Earth Lusca estava usando-o para expandir seu acesso depois de obter uma posição inicial dentro de um ambiente alvo. Enquanto isso, Winnti é o nome de um conjunto de malware que está em uso há mais de uma década, bem como o identificador de uma série de grupos de ameaças distintos, todos conectados ao aparato de inteligência do governo chinês, que está entre os mais conhecidos do mundo. sindicatos de hackers mais prolíficos.
O relatório da Trend Micro de segunda-feira fornece endereços IP, hashes de arquivos e outras evidências que as pessoas podem usar para determinar se foram comprometidos.
.
