„Earth Lusca”, Hiinaga seotud küberspionaaž, kes on vähemalt aastast 2021 aktiivselt sihikule võtnud Aasia, Ladina-Ameerika ja teiste piirkondade valitsusorganisatsioone, on hakanud kasutama Linuxi tagaust, mille funktsioonid näivad olevat inspireeritud mitmest varem tuntud pahavara tööriistast.
Pahavara, mille uurijad otsivad Trend Micro avastati ja mida jälgitakse kui "SprySOCKS", on esiteks Windowsi kaugjuurdepääsu troojalase (RAT) "Trochiluse" Linuxi variant, mille kood lekkis ja sai avalikult kättesaadavaks 2017. aastal.
Windowsi tagaukse Linuxi variant
Trochilusel on mitu funktsiooni, mille hulka kuulub lubamine ohus osalejatel failide kauginstallimiseks ja desinstallimiseks, klahvivajutuste logimiseks ja ekraanipiltide tegemiseks, failihaldus ja registri redigeerimine. Üks pahavara põhiomadusi on selle võime võimaldada külgsuunalist liikumist. Trend Micro andmetel näitavad SprySOCKSi peamine täitmisrutiin ja stringid, et see pärineb Trochilusest ja mitmed selle funktsioonid on Linuxi süsteemide jaoks uuesti rakendatud.
Lisaks viitab SprySOCKSi interaktiivse kesta Earth Lusca teostus sellele, et see on inspireeritud Linuxi versioonist Derusbi, pidevalt arenev RAT-ide perekond, mida edasijõudnud püsivad ohus osalejad on kasutanud alates 2008. aastast. Samuti sarnaneb SprySOCKSi käsu- ja kontrolli (C2) infrastruktuur infrastruktuuriga, mida ohustajad, mis on seotud teise etapi RAT-iga, mida nimetatakse Punased Lehed on kasutanud küberspionaažikampaaniates enam kui viis aastat, ütles Trend Micro.
Sarnaselt muule omalaadsele pahavarale sisaldab SprySOCKS mitmeid funktsioone, sealhulgas süsteemiteabe kogumine, interaktiivse kesta käivitamine, võrguühenduste loend ning failide üleslaadimine ja väljafiltreerimine.
Tabamatu ohunäitleja
Earth Lusca on mõnevõrra tabamatu ohutegija, mida Trend Micro on täheldanud alates 2021. aasta keskpaigast, olles suunatud organisatsioonidele Kagu-Aasias ja viimasel ajal Kesk-Aasias, Balkanil, Ladina-Ameerikas ja Aafrikas. Tõendid viitavad sellele, et rühm on osa sellest Winnti, küberspionaažirühmituste lõtv rühm, mis arvatavasti tegutseb Hiina majanduseesmärkide nimel või nende toetuseks.
Earth Lusca sihtmärgid on hõlmanud valitsus- ja haridusasutusi, demokraatiat ja inimõigusi pooldavaid rühmitusi, usurühmitusi, meediaorganisatsioone ja organisatsioone, kes viivad läbi COVID-19 uuringuid. See on olnud eriti huvitatud välissuhete, telekommunikatsiooni ja tehnoloogiaga seotud valitsusasutustest. Samal ajal, kuigi enamik Earth Lusca rünnakutest näib olevat seotud küberspionaažiga, on vastane mõnikord ka krüptovaluuta- ja hasartmängufirmasid otsinud, mis viitab sellele, et see on ka rahaliselt motiveeritud, ütles Trend Micro.
Paljudes oma rünnakutes on ohustaja kasutanud andmepüüki, tavalisi sotsiaalse manipuleerimise pettusi ja rünnakuid, et püüda sihtvõrgus kanda kinnitada. Alates selle aasta algusest on Earth Lusca näitlejad agressiivselt sihikule võtnud ka nn n-päevased haavatavused veebirakendustes, et tungida ohvrivõrkudesse. N-päevane haavatavus on viga, mille müüja on juba avalikustanud, kuid mille jaoks pole praegu plaastrit saadaval. "Hiljuti on ohutegija olnud väga agressiivne oma ohvrite avalikkusele suunatud serverite sihikule, kasutades teadaolevaid turvaauke," ütles Trend Micro.
Paljude selliste vigade hulgas, mida Maa Lusca on sel aastal ära kasutanud, on CVE-2022-40684, autentimisest möödaviimise haavatavus Fortineti FortiOS-is ja muudes tehnoloogiates; CVE-2022-39952, koodi kaugkäivitamise (RCE) viga Fortinet FortiNAC-is; ja CVE-2019-18935, RCE on pooleli Telerik UI jaoks ASP.NET AJAX. Ka teised ohus osalejad on neid vigu ära kasutanud. Näiteks CVE-2022-40684 on viga, mida tõenäoliselt Hiina toetatud ohutegija kasutas laialt levinud küberspionaažikampaanias, mille nimi on "Volt Typhoon,” suunatud organisatsioonidele mitmes kriitilises sektoris, sealhulgas valitsus, tootmine, side ja kommunaalteenused.
"Earth Lusca kasutab ära serveri turvaauke, et tungida oma ohvri võrkudesse, misjärel ta juurutab veebikesta ja installib külgsuunas liikumiseks Cobalt Strike'i," ütles Trend Micro oma aruandes. "Rühm kavatseb dokumentidest ja e-posti konto mandaatidest välja filtreerida ning täiendavalt juurutada täiustatud tagauksi, nagu ShadowPad ja Winnti Linuxi versioon, et viia läbi pikaajalisi spionaažitegevusi oma sihtmärkide vastu."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign
- :on
- :on
- 2008
- 2017
- 2021
- 7
- a
- võime
- juurdepääs
- Vastavalt
- konto
- üle
- aktiivselt
- tegevus
- osalejad
- lisamine
- edasijõudnud
- ADEelis
- Asjad
- Aafrika
- pärast
- vastu
- asutused
- agressiivne
- Lubades
- juba
- Ka
- Ameerika
- an
- ja
- ilmuma
- rakendused
- OLEME
- AS
- Aasia
- Asp.net
- seotud
- At
- Reageerib
- Autentimine
- saadaval
- tagauks
- Tagauksed
- BE
- sai
- olnud
- Algus
- alanud
- nimel
- Arvatakse
- Bug
- vead
- kuid
- by
- kutsutud
- Kampaania
- Kampaaniad
- lööb
- kesk-
- Kesk-Aasia
- hiina
- Cluster
- Koobalt
- kood
- Kollektsioneerimine
- ühine
- KOMMUNIKATSIOON
- Läbi viima
- Juhtimine
- Side
- pidevalt
- tuum
- Covid-19
- volikiri
- kriitiline
- cryptocurrency
- Praegu
- cyber
- juurutada
- do
- dokumendid
- dubleeritud
- maa
- Majanduslik
- haridus-
- võimaldama
- Inseneriteadus
- eriti
- spionaaž
- tõend
- areneb
- täitmine
- Exploited
- ära kasutades
- pere
- tunnusjoon
- FUNKTSIOONID
- fail
- Faile
- rahaliselt
- ettevõtetele
- viis
- viga
- vigu
- eest
- välis-
- Fortinet
- Alates
- funktsioonid
- edasi
- Hasartmängude
- saama
- läinud
- sain
- Valitsus
- valitsusasutused
- Grupp
- Grupi omad
- olnud
- Olema
- kõrgelt
- HTML
- HTTPS
- inim-
- inimõiguste
- täitmine
- in
- sisaldama
- lisatud
- Kaasa arvatud
- info
- Infrastruktuur
- inspireeritud
- paigaldama
- Näiteks
- institutsioonid
- kavatseb
- interaktiivne
- huvitatud
- seotud
- IT
- ITS
- jpg
- teatud
- ladina
- Ladina-Ameerika
- kõige vähem
- nagu
- Tõenäoliselt
- Linux
- loetelu
- logi
- pikaajaline
- põhiline
- malware
- juhtimine
- tootmine
- palju
- Meedia
- micro
- rohkem
- kõige
- motiveeritud
- liikumine
- mitmekordne
- neto
- võrk
- võrgustikud
- ei
- eesmärgid
- kord
- of
- on
- ONE
- or
- organisatsioonid
- pärineb
- Muu
- osa
- Plaaster
- Platon
- Platoni andmete intelligentsus
- PlatoData
- varem
- Edu
- avalikult
- ROT
- hiljuti
- piirkondades
- registri
- seotud
- kauge
- Remote Access
- aru
- teadustöö
- Teadlased
- meenutab
- õigusi
- rutiinne
- s
- Ütlesin
- sama
- petuskeemid
- Ekraan
- Sektorid
- server
- Serverid
- mitu
- Shell
- näitama
- alates
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- mõnevõrra
- kagus
- Kagu-Aasias
- lööma
- selline
- Soovitab
- toetama
- süsteem
- süsteemid
- võtab
- Kraanid
- sihtmärk
- sihtimine
- eesmärgid
- Tehnoloogiad
- Tehnoloogia
- telekommunikatsioon
- kui
- et
- .
- Need
- see
- Sel aastal
- oht
- ohus osalejad
- aeg
- et
- töövahendid
- Jälgimine
- Trend
- Trojan
- püüdma
- ui
- Üleslaadimine
- Kasutatud
- kasutamine
- kommunaalteenused
- variant
- müüja
- versioon
- Ohver
- ohvreid
- Haavatavused
- haavatavus
- oli
- web
- Hästi
- mis
- kuigi
- kelle
- laialt levinud
- will
- aknad
- koos
- töö
- aasta
- aastat
- sephyrnet