Компания по информационной безопасности Trend Micro предупредила о китайских хакерах, которые разработали новый способ проведения скрытной атаки на системы на базе Linux. Вредоносное программное обеспечение, получившее название SprySOCKS, используется злоумышленниками для кибератак на машины под управлением ОС семейства Linux.
По словам экспертов из Trend Micro, данный вредоносный код был разработан на основе Windows бэкдора Trochilus, который был выявлен еще в 2015 году специалистами компании Arbor Networks. Особенность этого Windows бэкдора заключалась в том, что его выполнение происходило исключительно в памяти, а его полезная нагрузка не сохранялась на диске, что затрудняло его обнаружение средствами защиты информации.
В июне 2023 года специалисты по кибербезопасности из Trend Micro обнаружили на одном из серверов файл с названием “libmonitor.so.2”. Этот файл использовался хакерской группировкой, деятельность которой отслеживалась, начиная с 2021 года. В базе данных сервиса VirusTotal были также найдены файлы, связанные с “libmonitor.so.2”, в частности, исполняемый файл “mkmon”, который помогал в его расшифровке.
При анализе этой вредоносной программы эксперты Trend Micro пришли к выводу, что она представляет собой сложное вредоносное ПО, разработанное специально для Linux. Его функционал частично совпадает с возможностями других известных вредоносных программ, но при этом имеет уникальную реализацию протокола Socket Secure (SOCKS). В связи с этой особенностью вредонос и получил название SprySOCKS.
Используя это вредоносное ПО, хакеры могут собирать информацию о системе, запускать командный интерфейс, управлять системой на расстоянии, формировать сетевые подключения, развертывать прокси-сервер на основе протокола SOCKS для обмена данными между зараженной системой и командным сервером хакеров, а также выполнять множество других операций.
В Trend Micro также подчеркивают, что наличие версии у данного вредоносного ПО говорит о том, что оно все еще находится в разработке. Специалисты полагают, что вредоносное ПО SprySOCKS принадлежит хакерам из известной группировки Earth Lusca, активность которой была впервые замечена в 2021 году. Для заражения целевых систем хакеры этой группировка обычно используют методы социальной инженерии.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
