Az „Earth Lusca”, egy Kínához köthető kiberkémkedési szereplő, aki legalább 2021 óta aktívan megcélozza a kormányzati szervezeteket Ázsiában, Latin-Amerikában és más régiókban, Linux-hátsó ajtót kezdett használni, olyan funkciókkal, amelyeket több, korábban ismert rosszindulatú program ihletett.
A rosszindulatú program, amelyet a kutatók a Felfedezték a Trend Micro-t és a „SprySOCKS” néven követik, először is a „Trochilus” Linux-változata, egy Windows távoli hozzáférésű trójai (RAT), amelynek kódja kiszivárgott és 2017-ben vált nyilvánosan elérhetővé.
A Windows Backdoor Linux-változata
Trochilusnak van több funkció, amelyek magukban foglalják a fájlok távoli telepítésének és eltávolításának, a billentyűleütések naplózásának és képernyőfelvételek készítésének, a fájlkezelésnek és a rendszerleíró adatbázis szerkesztésének engedélyezését a fenyegetést okozó szereplők számára. A rosszindulatú program egyik alapvető jellemzője, hogy lehetővé teszi az oldalirányú mozgást. A Trend Micro szerint a SprySOCKS fő végrehajtási rutinja és karakterláncai azt mutatják, hogy a Trochilustól származik, és számos funkcióját újra implementálták Linux rendszerekre.
Ezen túlmenően a SprySOCKS interaktív héjának Earth Lusca megvalósítása azt sugallja, hogy a Linux-verzió ihlette. Derusbi, a RAT-ok folyamatosan fejlődő családja, amelyet a fejlett, állandó fenyegetés szereplői 2008 óta használnak. Ezenkívül a SprySOCKS parancsnoki és irányítási (C2) infrastruktúrája hasonlít egy olyan fenyegető cselekvőhöz, amely egy második fokozatú RAT-hoz kapcsolódik. RedLeaves több mint öt éve használják kiberkémkedési kampányokban – mondta a Trend Micro.
A többi rosszindulatú programhoz hasonlóan a SprySOCKS is több funkciót tartalmaz, beleértve a rendszerinformációk gyűjtését, az interaktív shell kezdeményezését, a hálózati kapcsolatok felsorolását, valamint a fájlok feltöltését és kiszűrését.
Megfoghatatlan fenyegetés színész
Az Earth Lusca egy kissé megfoghatatlan fenyegetettség, amelyet a Trend Micro 2021 közepe óta figyelt meg, és amely Délkelet-Ázsiában, újabban pedig közép-ázsiai, balkáni, latin-amerikai és afrikai szervezeteket céloz meg. A bizonyítékok arra utalnak, hogy a csoport tagja Winnti, kiberkémkedési csoportok laza csoportja, amelyekről úgy tartják, hogy kínai gazdasági célkitűzések nevében vagy támogatásában dolgoznak.
Az Earth Lusca célpontjai között szerepelnek kormányzati és oktatási intézmények, demokráciapárti és emberi jogi csoportok, vallási csoportok, médiaszervezetek és COVID-19-kutatást végző szervezetek. Különösen érdekelték a külügyekkel, távközléssel és technológiával foglalkozó kormányzati szervek. Ugyanakkor, bár az Earth Lusca támadásainak többsége kiberkémkedéssel kapcsolatos, időnként az ellenfél kriptovaluta- és szerencsejáték-cégeket is keres, ami arra utal, hogy anyagilag is motivált - mondta a Trend Micro.
A fenyegetettség szereplői számos támadásnál lándzsás adathalászatot, gyakori szociális tervezési csalásokat és vízhiányos támadásokat használtak, hogy megpróbálják megvetni a lábukat egy célhálózaton. Ez év eleje óta az Earth Lusca szereplői agresszíven célozzák a webes alkalmazások úgynevezett „n-napos” sebezhetőségeit, hogy behatoljanak az áldozati hálózatokba. Az n-napos biztonsági rés egy olyan hiba, amelyet a gyártó már felfedett, de amelyre jelenleg nem érhető el javítás. "A közelmúltban a fenyegetés szereplői rendkívül agresszíven célozták meg áldozatai nyilvános szervereit az ismert sebezhetőségek kihasználásával" - mondta a Trend Micro.
A sok ilyen hiba között, amelyeket a Lusca Földet ebben az évben megfigyeltek, kiaknázták CVE-2022 40684-, a Fortinet FortiOS és más technológiáiban található hitelesítési megkerülő sérülékenység; CVE-2022 39952-, távoli kódvégrehajtási (RCE) hiba a Fortinet FortiNAC-ban; és CVE-2019-18935, folyamatban lévő RCE Telerik UI az ASP.NET AJAX-hoz. Más fenyegetés szereplői is kihasználták ezeket a hibákat. A CVE-2022-40684 például egy olyan hiba, amelyet egy valószínűleg Kína által támogatott fenyegetést használt fel egy széles körben elterjedt kiberkémkedési kampányban, amelyet ""Volt Typhoon,” több kritikus szektorban működő szervezeteket céloz meg, beleértve a kormányzatot, a gyártást, a kommunikációt és a közműveket.
"Az Earth Lusca kihasználja a szerver sebezhetőségeit, hogy behatoljon áldozata hálózataiba, majd telepít egy webhéjat, és telepíti a Cobalt Strike-ot az oldalirányú mozgáshoz" - mondta a Trend Micro jelentésében. "A csoport szándékában áll kiszűrni a dokumentumokat és az e-mail fiókok hitelesítő adatait, valamint tovább kívánja telepíteni az olyan fejlett hátsó ajtókat, mint a ShadowPad és a Winnti Linux-verziója, hogy hosszú távú kémtevékenységet végezzenek célpontjai ellen."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign
- :van
- :is
- 2008
- 2017
- 2021
- 7
- a
- képesség
- hozzáférés
- Szerint
- Fiók
- át
- aktívan
- tevékenységek
- szereplők
- mellett
- fejlett
- Előny
- ügyek
- Afrika
- Után
- ellen
- ügynökségek
- agresszív
- lehetővé téve
- már
- Is
- Amerika
- an
- és a
- megjelenik
- alkalmazások
- VANNAK
- AS
- Ázsia
- Asp.net
- társult
- At
- Támadások
- Hitelesítés
- elérhető
- hátsó ajtó
- Hátsóajtó
- BE
- lett
- óta
- Kezdet
- megkezdett
- nevében
- úgy
- Bogár
- bogarak
- de
- by
- hívott
- Kampány
- Kampányok
- fogások
- központi
- Közép-Ázsia
- kínai
- Fürt
- Kobalt
- kód
- Gyűjtő
- Közös
- közlés
- Magatartás
- vezető
- kapcsolatok
- folyamatosan
- Mag
- Covid-19
- Hitelesítő adatok
- kritikai
- cryptocurrency
- Jelenleg
- cyber
- telepíteni
- do
- dokumentumok
- szinkronizált
- föld
- Gazdasági
- nevelési
- lehetővé
- Mérnöki
- különösen
- kémkedés
- bizonyíték
- fejlődik
- végrehajtás
- Hasznosított
- kiaknázása
- család
- Funkció
- Jellemzők
- filé
- Fájlok
- pénzügyileg
- cégek
- öt
- hibája
- hibái
- A
- külföldi
- Fortinet
- ból ből
- funkciók
- további
- Szerencsejáték
- kap
- elmúlt
- kapott
- Kormány
- kormányzati szervek
- Csoport
- Csoportok
- kellett
- Legyen
- nagyon
- HTML
- HTTPS
- emberi
- emberi jogok
- végrehajtás
- in
- tartalmaz
- beleértve
- Beleértve
- információ
- Infrastruktúra
- inspirálta
- telepíteni
- példa
- intézmények
- szándékozik
- interaktív
- érdekelt
- részt
- IT
- ITS
- jpg
- ismert
- latin
- latin Amerika
- legkevésbé
- mint
- Valószínű
- linux
- felsorolás
- log
- hosszú lejáratú
- Fő
- malware
- vezetés
- gyártási
- sok
- Média
- mikro
- több
- a legtöbb
- motivált
- mozgalom
- többszörös
- háló
- hálózat
- hálózatok
- nem
- célok
- alkalom
- of
- on
- ONE
- or
- szervezetek
- származik
- Más
- rész
- Tapasz
- Plató
- Platón adatintelligencia
- PlatoData
- korábban
- Haladás
- nyilvánosan
- PATKÁNY
- nemrég
- régiók
- iktató hivatal
- összefüggő
- távoli
- távoli hozzáférés
- jelentést
- kutatás
- kutatók
- hasonlít
- jogok
- rutin
- s
- Mondott
- azonos
- csalások
- Képernyő
- ágazatok
- szerver
- Szerverek
- számos
- Héj
- előadás
- óta
- Közösség
- Szociális tervezés
- némileg
- délkeleti
- Délkelet-Ázsia
- sztrájk
- ilyen
- javasolja,
- támogatás
- rendszer
- Systems
- tart
- Csap
- cél
- célzás
- célok
- Technologies
- Technológia
- távközlés
- mint
- hogy
- A
- Ezek
- ezt
- idén
- fenyegetés
- fenyegetés szereplői
- idő
- nak nek
- szerszámok
- Csomagkövetés
- tendencia
- trójai
- megpróbál
- ui
- Feltöltés
- használt
- segítségével
- segédprogramok
- Változat
- eladó
- változat
- Áldozat
- áldozatok
- sérülékenységek
- sebezhetőség
- volt
- háló
- JÓL
- ami
- míg
- akinek
- széles körben elterjedt
- lesz
- ablakok
- val vel
- dolgozó
- év
- év
- zephyrnet