EARTH LUSCA 利用 SPRYSOCKS LINUX 恶意软件扩展其武器库

威胁组织 Earth Lusca 在最近的网络间谍活动中使用了一种名为 SprySOCKS 的新 Linux 恶意软件。

趋势科技的研究人员在监控威胁组织Earth Lusca的活动时,发现了该组织控制下的服务器上托管的加密文件。进一步的分析发现了一个以前未知的 Linux 后门,被追踪为 SprySOCKS。该恶意代码基于开源Windows后门 Trochilus。专家们注意到,威胁行为者重写了恶意软件的许多功能,以便在 Linux 系统上运行。SprySOCKS 这个名字来源于 Trochilus 的快速行为和后门的新 Socket Secure ( SOCKS ) 实现。

研究人员检测到两个版本号不同的 SprySOCKS 样本,这种情况表明后门仍在开发中。据趋势科技称,交互式 shell 的实现很可能基于 Derusbi 恶意软件的 Linux 变体。

“与此同时,SprySOCKS 的命令与控制 (C&C) 协议的结构与RedLeaves 后门使用的结构类似 ,RedLeaves 是一种据报道 感染 Windows 计算机的远程访问木马 (RAT)  。它由两个组件组成:加载器和加密的主负载。加载器负责读取、解密和运行主要有效负载。” 阅读趋势科技发布的分析。

Earth Lusca组织在2023年上半年仍然活跃,主要针对东南亚、中亚和巴尔干地区的组织。该组织重点关注涉及外交、技术和电信的政府部门。

该组织的目标是试图利用基于服务器的 N 天漏洞的面向公众的服务器,包括:

:

漏洞描述
CVE-2022-40684Fortinet FortiOS、FortiProxy 和 FortiSwitchManager 中的身份验证绕过漏洞
CVE-2022-39952Fortinet FortiNAC 中未经身份验证的远程代码执行 (RCE) 漏洞
CVE-2021-22205GitLab CE/EE 中未经身份验证的 RCE 漏洞
CVE-2019-18935适用于 ASP.NET AJAX 的 Progress Telerik UI 中存在未经身份验证的远程执行代码漏洞
CVE-2019-9670  /  CVE-2019-9621Zimbra Collaboration Suite 中存在两个未经身份验证的 RCE 漏洞
ProxyShell(CVE-2021-34473、  CVE-2021-34523 、  CVE-2021-31207)一组三个连锁漏洞,可在 Microsoft Exchange 中执行未经身份验证的 RCE
Earth Lusca利用的漏洞列表

一旦该组织利用上述漏洞访问受害者的网络,就会部署 Web shell 并安装利用后框架 Cobalt Strike 进行横向移动。专家报告称,该组织从目标系统中窃取文档,并试图窃取电子邮件帐户凭据。威胁行为者还部署了ShadowPad和 Linux 版本的 Winnti 后门等高级后门。

威胁行为者部署了 SprySOCKS 加载器,这是公开的 Linux ELF 注入器“ mandibule ”的变体。

“通过prctl命令将加载程序进程的名称设置为“kworker/0:22”   。通常,  kworker 是内核工作线程的占位进程。然而,在这种情况下,“kworker”名称与内核工作线程无关。相反,加载程序滥用这个名称只是为了避免当用户通过 ps 或 top等命令列出所有正在运行的任务时受到怀疑。” 报告继续。

SprySOCKS后门是用 HP-Socket 项目静态编译的,HP-Socket项目是一个高性能网络框架。该后门使用 AES-ECB 加密进行 C2 通信。

该恶意软件支持多种命令,包括收集系统信息、启动交互式 shell、列出网络连接、创建 SOCKS 代理、上传和下载文件以及其他基本文件操作(列出、删除、重命名和创建目录)。

“我们讨论了 Earth Lusca 使用的新后门 SprySOCKS,它扩展了该组织的 Linux 武器库。最近,威胁行为者通过利用已知漏洞,非常积极地针对受害者面向公众的服务器。” 该报告的结论还包括妥协指标(IOC)。”

“重要的是,组织主动管理其攻击面,最大限度地减少系统的潜在入口点并降低成功入侵的可能性。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/7898.html

标签