Natuklasan ng mga eksperto mula sa Japanese company na Trend Micro, na dalubhasa sa mga isyu sa cyber security, ang malisyosong programang SprySOCKS, na ginagamit upang atakehin ang mga makina na nagpapatakbo ng pamilya ng mga system ng Linux.
Ang bagong malware ay nagmula sa Windows backdoor Trochilus, natuklasan 2015 ng mga mananaliksik mula sa kumpanya ng Arbor Networks, ito ay inilunsad at isinasagawa lamang sa memorya, at ang kargamento nito ay hindi nakaimbak sa mga disk, na makabuluhang nagpapalubha sa pagtuklas. Noong Hunyo ng taong ito, natuklasan ng mga mananaliksik ng Trend Micro ang isang file na pinangalanang "libmonitor.so.2" sa isang server na ginagamit ng isang grupo na ang aktibidad ay sinusubaybayan nila mula noong 2021. Sa database ng VirusTotal, natuklasan nila ang nauugnay na executable file na "mkmon", na tumulong sa pag-decrypt ng "libmonitor.so.2" at ibunyag ang payload nito.
Ito ay lumabas na ito ay isang kumplikadong malisyosong programa para sa Linux, ang pag-andar na bahagyang tumutugma sa mga kakayahan ng Trochilus at may orihinal na pagpapatupad ng protocol ng Socket Secure (SOCKS), kaya ang malware ay binigyan ng pangalang SprySOCKS. Pinapayagan ka nitong mangolekta ng impormasyon tungkol sa system, maglunsad ng remote management command interface (shell), bumuo ng listahan ng mga koneksyon sa network, mag-deploy ng proxy server batay sa SOCKS protocol upang makipagpalitan ng data sa pagitan ng nakompromisong system at command server ng attacker, at magsagawa ng iba pang mga operasyon. Ang pagtukoy sa mga bersyon ng malware ay nagpapahiwatig na ito ay nasa ilalim pa rin ng pag-unlad.
Iminumungkahi ng mga mananaliksik na ang SprySOCKS ay ginagamit ng mga hacker mula sa pangkat ng Earth Lusca - una itong natuklasan noong 2021, at lumabas ito sa listahan ng mga cybercriminals makalipas ang isang taon. Gumagamit ang grupo ng mga pamamaraan ng social engineering para makahawa sa mga system. Ini-install ng SprySOCKS ang Cobalt Strike at Winnti packages bilang mga payload. Ang una ay isang kit para sa paghahanap at pagsasamantala ng mga kahinaan; ang pangalawa, na higit sa sampung taong gulang, ay nakikipag-ugnayan sa mga awtoridad ng China. May isang bersyon na ang Earth Lusca group, na pangunahing gumagana sa mga target na Asyano, ay naglalayon na manira ng mga pondo, dahil ang mga biktima nito ay kadalasang mga kumpanyang sangkot sa pagsusugal at cryptocurrencies.
Basahin din:
- Microsoft ay inakusahan ng "flagrant neglect" ng cyber security
- Hindi pinagana ng mga hacker ang isa sa mga pinakamodernong astronomical observatories