少なくとも 2021 年以来、アジア、ラテンアメリカ、その他の地域の政府機関を積極的にターゲットにしてきた中国関連のサイバースパイ活動団体「Earth Lusca」は、以前に知られていた複数のマルウェア ツールからインスピレーションを得たと思われる機能を備えた Linux バックドアを使用し始めました。
研究者が発見したマルウェア トレンドマイクロが発見 「SprySOCKS」として追跡されているこのウイルスは、まず、Windows リモート アクセス トロイの木馬 (RAT) である「Trochilus」の Linux 亜種であり、そのコードは 2017 年に漏洩して一般公開されました。
Windows バックドアの Linux 版
トロキラスは 多機能、 これには、攻撃者によるファイルのリモートからのインストールとアンインストール、キーストロークの記録、画面キャプチャ、ファイル管理、レジストリ編集の実行を許可することが含まれます。 このマルウェアの中核的な機能の XNUMX つは、横方向の移動を可能にする機能です。 トレンドマイクロによると、SprySOCKS のメイン実行ルーチンと文字列は、SprySOCKS が Trochilus に由来し、その機能のいくつかが Linux システム用に再実装されたことを示しています。
さらに、SprySOCKS のインタラクティブ シェルの Earth Lusca 実装は、それが Linux バージョンの デルスビは、高度な永続的脅威攻撃者が 2008 年から使用している継続的に進化する RAT ファミリです。また、SprySOCKS のコマンドアンドコントロール (C2) インフラストラクチャは、第 XNUMX 段階の RAT に関連付けられた攻撃者が 赤い葉 トレンドマイクロによると、XNUMX年以上にわたってサイバースパイ活動に使用されてきたという。
同種の他のマルウェアと同様に、SprySOCKS には、システム情報の収集、対話型シェルの開始、ネットワーク接続の一覧表示、ファイルのアップロードと抽出などの複数の機能が組み込まれています。
とらえどころのない脅威アクター
Earth Lusca は、トレンドマイクロが 2021 年半ばから観察してきたややとらえどころのない脅威アクターで、東南アジア、さらに最近では中央アジア、バルカン半島、ラテンアメリカ、アフリカの組織を標的としています。 証拠は、このグループが次のメンバーであることを示唆しています。 ウィンティ、中国の経済目標を代表して、または支援していると考えられるサイバースパイグループの緩やかな集団。
Earth Lusca のターゲットには、政府機関や教育機関、民主主義擁護団体や人権団体、宗教団体、報道機関、新型コロナウイルス感染症の研究を行っている団体などが含まれています。 特に外交、電気通信、テクノロジーに関わる政府機関に関心を持っています。 同時に、Earth Luscaの攻撃のほとんどはサイバースパイ活動に関連しているようだが、時折、敵対者は仮想通貨やギャンブル会社も狙っており、資金目的も示唆しているとトレンドマイクロは述べた。
攻撃の多くでは、攻撃者はスピア フィッシング、一般的なソーシャル エンジニアリング詐欺、水飲み場型攻撃を利用して、ターゲット ネットワークへの足がかりを得ようと試みてきました。 今年の初め以来、Earth Lusca の攻撃者は、被害者のネットワークに侵入するために、Web 対応アプリケーションのいわゆる「n-day」脆弱性も積極的にターゲットにしています。 n-day 脆弱性は、ベンダーがすでに公開しているが、現時点ではパッチが提供されていない欠陥です。 「最近、この攻撃者は既知の脆弱性を悪用して、被害者の公開サーバーを非常に積極的に狙っています」とトレンドマイクロは述べた。
今年、Earth Lusca が悪用することが観察された多くのそのような欠陥の中には、次のようなものがあります。 CVE-2022-40684、フォーティネットの FortiOS およびその他のテクノロジーにおける認証バイパスの脆弱性。 CVE-2022-39952、フォーティネット FortiNAC のリモート コード実行 (RCE) のバグ。 そして CVE-2019-18935、 ASP.NET AJAX 用の進行中の RCE Telerik UI。 他の攻撃者もこれらのバグを悪用しています。 たとえば、CVE-2022-40684 は、おそらく中国の支援を受けた攻撃者が、「」と呼ばれる広範なサイバースパイ活動で使用した欠陥です。ボルト・タイフーン、」は、政府、製造、通信、公益事業を含む複数の重要なセクターにわたる組織を対象としています。
「Earth Luscaはサーバーの脆弱性を利用して被害者のネットワークに侵入し、その後Webシェルを展開し、水平移動のためにCobalt Strikeをインストールする」とトレンドマイクロは報告書で述べた。 「このグループは、文書や電子メール アカウントの資格情報を窃取するとともに、ShadowPad や Linux 版 Winnti などの高度なバックドアをさらに展開して、標的に対して長期的なスパイ活動を行うつもりです。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign
- :持っている
- :は
- 2008
- 2017
- 2021
- 7
- a
- 能力
- アクセス
- 従った
- 越えて
- 積極的に
- 活動
- 俳優
- 添加
- 高度な
- 利点
- 業務
- アフリカ
- 後
- に対して
- 機関
- 積極的な
- 許可
- 既に
- また
- アメリカ
- an
- および
- 現れる
- です
- AS
- アジア
- アスプネット
- 関連する
- At
- 攻撃
- 認証
- 利用できます
- 裏口
- バックドア
- BE
- になりました
- き
- 開始
- 始め
- 代わって
- 信じて
- バグ
- バグ
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- 呼ばれます
- キャンペーン
- キャンペーン
- キャプチャ
- 中央の
- 中央アジア
- 中国語
- クラスタ
- コバルト
- コード
- 収集
- コマンドと
- コミュニケーション
- プロフェッショナルな方法で
- 導電性
- Connections
- 連続的に
- 基本
- コロナ
- Credentials
- 重大な
- cryptocurrency
- 現在
- サイバー
- 展開します
- do
- ドキュメント
- ダビングされた
- EARTH
- 経済
- 教育の
- enable
- エンジニアリング
- 特に
- スパイ
- 証拠
- 進化
- 実行
- 搾取
- 悪用
- 家族
- 特徴
- 特徴
- File
- 財政的に
- 企業
- 五
- 欠陥
- 欠陥
- 外国の
- フォーティネット
- から
- 機能
- さらに
- ギャンブル
- 取得する
- 行って
- だ
- 政府・公共機関
- 政府機関
- グループ
- グループの
- 持っていました
- 持ってる
- 非常に
- HTML
- HTTPS
- 人間
- 人権
- 実装
- in
- include
- 含まれました
- 含めて
- 情報
- インフラ関連事業
- インスピレーションある
- install
- 機関
- 意図する
- 相互作用的
- 興味がある
- 関係する
- IT
- ITS
- JPG
- 既知の
- ローマ字
- ラテンアメリカ
- 最低
- ような
- 可能性が高い
- linuxの
- リスト
- ログ
- 長期的
- メイン
- マルウェア
- 管理
- 製造業
- 多くの
- メディア
- マイクロ
- 他には?
- 最も
- やる気
- 運動
- の試合に
- net
- ネットワーク
- ネットワーク
- いいえ
- 目的
- 時
- of
- on
- ONE
- or
- 組織
- 発信
- その他
- 部
- パッチ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 前に
- 進捗
- 公然と
- RAT
- 最近
- 地域
- レジストリ
- 関連する
- リモート
- リモートアクセス
- レポート
- 研究
- 研究者
- 似てる
- 権利
- ルーチン
- s
- 前記
- 同じ
- 詐欺
- 画面
- セクター
- サーバー
- いくつかの
- シェル(Shell)
- 表示する
- から
- 社会
- ソーシャルエンジニアリング
- 幾分
- 南東
- 東南アジア
- ストライキ
- そのような
- 提案する
- サポート
- システム
- 取り
- タップ
- ターゲット
- ターゲット
- ターゲット
- テクノロジー
- テクノロジー
- 電気通信
- より
- それ
- ボーマン
- この
- 今年
- 脅威
- 脅威アクター
- 時間
- 〜へ
- 豊富なツール群
- 追跡
- トレンド
- トロイの
- 試します
- ui
- アップロード
- 中古
- 公益事業
- バリアント
- ベンダー
- バージョン
- 被害者
- 犠牲者
- 脆弱性
- 脆弱性
- ました
- ウェブ
- WELL
- which
- while
- その
- 広範囲
- 意志
- ウィンドウズ
- ワーキング
- 年
- 年
- ゼファーネット