Các chuyên gia của công ty Trend Micro của Nhật Bản, chuyên về các vấn đề an ninh mạng, đã phát hiện ra chương trình độc hại SprySOCKS, được sử dụng để tấn công các máy chạy hệ thống Linux.
Phần mềm độc hại mới xuất phát từ cửa sau Trochilus của Windows, đã phát hiện 2015 bởi các nhà nghiên cứu từ công ty Arbor Networks, nó chỉ được khởi chạy và thực thi trong bộ nhớ và tải trọng của nó không được lưu trữ trên đĩa, điều này làm phức tạp đáng kể việc phát hiện. Vào tháng 2 năm nay, các nhà nghiên cứu của Trend Micro đã phát hiện ra một tệp có tên “libmonitor.so.2021” trên máy chủ được sử dụng bởi một nhóm có hoạt động mà họ đã theo dõi từ năm 2. Trong cơ sở dữ liệu VirusTotal, họ đã phát hiện ra tệp thực thi liên quan “mkmon”, giúp giải mã “libmonitor.so.” và tiết lộ tải trọng của nó.
Hóa ra đây là một chương trình độc hại phức tạp dành cho Linux, chức năng của nó một phần trùng khớp với các khả năng của Trochilus và có triển khai ban đầu của giao thức Socket Secure (SOCKS), vì vậy phần mềm độc hại được đặt tên là SprySOCKS. Nó cho phép bạn thu thập thông tin về hệ thống, khởi chạy giao diện lệnh quản lý từ xa (shell), tạo danh sách kết nối mạng, triển khai máy chủ proxy dựa trên giao thức SOCKS để trao đổi dữ liệu giữa hệ thống bị xâm nhập và máy chủ lệnh của kẻ tấn công và thực hiện các thao tác khác. Việc chỉ định phiên bản của phần mềm độc hại cho thấy nó vẫn đang được phát triển.
Các nhà nghiên cứu cho rằng SprySOCKS được sử dụng bởi các hacker thuộc nhóm Earth Lusca - nó được phát hiện lần đầu tiên vào năm 2021 và xuất hiện trong danh sách tội phạm mạng một năm sau đó. Nhóm sử dụng các phương pháp kỹ thuật xã hội để lây nhiễm vào hệ thống. SprySOCKS cài đặt các gói Cobalt Strike và Winnti dưới dạng tải trọng. Đầu tiên là bộ công cụ tìm kiếm và khai thác các lỗ hổng; người thứ hai hơn mười tuổi liên lạc với chính quyền Trung Quốc. Có một phiên bản cho rằng nhóm Earth Lusca, hoạt động chủ yếu với các mục tiêu ở châu Á, nhằm mục đích biển thủ tiền, vì nạn nhân của nó thường là các công ty liên quan đến cờ bạc và tiền điện tử.
Đọc thêm:
- Microsoft bị buộc tội "bỏ bê trắng trợn" an ninh mạng
- Hacker vô hiệu hóa một trong những đài quan sát thiên văn hiện đại nhất