Было замечено, что связанный с Китаем исполнитель угроз, известный как Earth Lusca, нацелен на правительственные организации, используя невиданный ранее бэкдор Linux под названием SprySOCKS.
Earth Lusca был впервые задокументирован компанией Trend Micro в январе 2022 года, в нем подробно описываются атаки злоумышленника на организации государственного и частного секторов по всей Азии, Австралии, Европе, Северной Америке.
Группа, действующая с 2021 года, использует фишинговые атаки и водопои для реализации своих схем кибершпионажа. Некоторые действия группы пересекаются с другим кластером угроз, отслеживаемым Recorded Future под названием RedHotel.
Последние данные фирмы по кибербезопасности показывают, что Earth Lusca продолжает оставаться активной группой, даже расширяя свою деятельность, нацеленную на организации по всему миру в течение первой половины 2023 года.
Основными целями являются правительственные ведомства, занимающиеся иностранными делами, технологиями и телекоммуникациями. Атаки сосредоточены в Юго-Восточной Азии, Центральной Азии и на Балканах.
Последовательности заражения начинаются с использования известных недостатков безопасности в общедоступных серверах Fortinet (CVE-2022-39952 и CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) и Zimbra (CVE-2019-9621 и CVE-2019-9670) для удаления веб-оболочек и нанесения Cobalt Strike для бокового перемещения .
"Группа намерена отфильтровывать документы и учетные данные учетной записи электронной почты, а также дополнительно развертывать продвинутые бэкдоры, такие как ShadowPad и Linux-версия Winnti, для ведения долгосрочной шпионской деятельности против своих целей", - сказали исследователи безопасности Джозеф К. Чен и Яромир Хорейси.
Также было замечено, что на сервере, используемом для доставки Cobalt Strike и Winnti, размещен SprySOCKS, который уходит корнями в бэкдор Windows с открытым исходным кодом Trochilus. Стоит отметить, что использование Trochilus в прошлом было связано с китайской хакерской группой под названием Webworm.
Загруженный с помощью варианта компонента ELF-инжектора, известного как mandibule, SprySOCKS оснащен для сбора системной информации, запуска интерактивной оболочки, создания и завершения работы SOCKS proxy и выполнения различных операций с файлами и каталогами.
Реализация интерактивной оболочки в SprySOCKS, вероятно, вдохновлена Linux-версией полнофункционального бэкдора под названием Derusbi (он же Photo), который, как известно, используется несколькими китайскими кластерами угроз, по крайней мере, с 2008 года.
Командно-контрольная связь (C2) состоит из пакетов, отправляемых по протоколу Transmission Control Protocol (TCP), зеркально отображающему структуру, используемую троянцем на базе Windows, называемым RedLeaves, который, как утверждается, построен поверх Trochilus.
На сегодняшний день выявлено по меньшей мере два разных образца SprySOCKS (версии 1.1 и 1.3.6), что позволяет предположить, что злоумышленники постоянно модифицируют вредоносное ПО для добавления новых функций.
"Важно, чтобы организации активно управляли своей поверхностью атаки, сводя к минимуму потенциальные точки входа в свою систему и снижая вероятность успешного взлома", - сказали исследователи.
"Предприятиям следует регулярно устанавливать исправления и обновлять свои инструменты, программное обеспечение и системы, чтобы обеспечить их безопасность, функциональность и общую производительность".
Earth Lusca был впервые задокументирован компанией Trend Micro в январе 2022 года, в нем подробно описываются атаки злоумышленника на организации государственного и частного секторов по всей Азии, Австралии, Европе, Северной Америке.
Группа, действующая с 2021 года, использует фишинговые атаки и водопои для реализации своих схем кибершпионажа. Некоторые действия группы пересекаются с другим кластером угроз, отслеживаемым Recorded Future под названием RedHotel.
Последние данные фирмы по кибербезопасности показывают, что Earth Lusca продолжает оставаться активной группой, даже расширяя свою деятельность, нацеленную на организации по всему миру в течение первой половины 2023 года.
Основными целями являются правительственные ведомства, занимающиеся иностранными делами, технологиями и телекоммуникациями. Атаки сосредоточены в Юго-Восточной Азии, Центральной Азии и на Балканах.
Последовательности заражения начинаются с использования известных недостатков безопасности в общедоступных серверах Fortinet (CVE-2022-39952 и CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) и Zimbra (CVE-2019-9621 и CVE-2019-9670) для удаления веб-оболочек и нанесения Cobalt Strike для бокового перемещения .
"Группа намерена отфильтровывать документы и учетные данные учетной записи электронной почты, а также дополнительно развертывать продвинутые бэкдоры, такие как ShadowPad и Linux-версия Winnti, для ведения долгосрочной шпионской деятельности против своих целей", - сказали исследователи безопасности Джозеф К. Чен и Яромир Хорейси.
Также было замечено, что на сервере, используемом для доставки Cobalt Strike и Winnti, размещен SprySOCKS, который уходит корнями в бэкдор Windows с открытым исходным кодом Trochilus. Стоит отметить, что использование Trochilus в прошлом было связано с китайской хакерской группой под названием Webworm.
Загруженный с помощью варианта компонента ELF-инжектора, известного как mandibule, SprySOCKS оснащен для сбора системной информации, запуска интерактивной оболочки, создания и завершения работы SOCKS proxy и выполнения различных операций с файлами и каталогами.
Реализация интерактивной оболочки в SprySOCKS, вероятно, вдохновлена Linux-версией полнофункционального бэкдора под названием Derusbi (он же Photo), который, как известно, используется несколькими китайскими кластерами угроз, по крайней мере, с 2008 года.
Командно-контрольная связь (C2) состоит из пакетов, отправляемых по протоколу Transmission Control Protocol (TCP), зеркально отображающему структуру, используемую троянцем на базе Windows, называемым RedLeaves, который, как утверждается, построен поверх Trochilus.
На сегодняшний день выявлено по меньшей мере два разных образца SprySOCKS (версии 1.1 и 1.3.6), что позволяет предположить, что злоумышленники постоянно модифицируют вредоносное ПО для добавления новых функций.
"Важно, чтобы организации активно управляли своей поверхностью атаки, сводя к минимуму потенциальные точки входа в свою систему и снижая вероятность успешного взлома", - сказали исследователи.
"Предприятиям следует регулярно устанавливать исправления и обновлять свои инструменты, программное обеспечение и системы, чтобы обеспечить их безопасность, функциональность и общую производительность".
