“Earth Lusca” หน่วยงานจารกรรมทางไซเบอร์ที่เกี่ยวข้องกับจีน ซึ่งตั้งเป้าไปที่องค์กรภาครัฐในเอเชีย ละตินอเมริกา และภูมิภาคอื่นๆ ตั้งแต่ปี 2021 เป็นอย่างน้อย ได้เริ่มใช้แบ็คดอร์ของ Linux พร้อมฟีเจอร์ที่ดูเหมือนได้รับแรงบันดาลใจจากเครื่องมือมัลแวร์หลายตัวที่รู้จักก่อนหน้านี้
มัลแวร์ที่นักวิจัยที่ เทรนด์ไมโครค้นพบ และกำลังติดตามว่า “SprySOCKS” เป็นตัวแปรแรกใน Linux ของ “Tchilus” ซึ่งเป็นโทรจันการเข้าถึงระยะไกลของ Windows (RAT) ซึ่งมีรหัสรั่วไหลและเผยแพร่สู่สาธารณะในปี 2017
Windows Backdoor เวอร์ชัน Linux
โทรคิลัสก็มี ฟังก์ชั่นหลายอย่าง ซึ่งรวมถึงการอนุญาตให้ผู้แสดงภัยคุกคามสามารถติดตั้งและถอนการติดตั้งไฟล์จากระยะไกล บันทึกการกดแป้นพิมพ์ และทำการจับภาพหน้าจอ การจัดการไฟล์ และการแก้ไขรีจิสทรี คุณสมบัติหลักประการหนึ่งของมัลแวร์คือความสามารถในการเปิดใช้งานการเคลื่อนไหวด้านข้าง จากข้อมูลของ Trend Micro รูทีนและสตริงการดำเนินการหลักของ SprySOCKS แสดงให้เห็นว่ามีต้นกำเนิดมาจาก Trochilus และมีฟังก์ชันหลายอย่างที่ได้รับการปรับปรุงใหม่สำหรับระบบ Linux
นอกจากนี้ การใช้งาน Earth Lusca ของเชลล์เชิงโต้ตอบของ SprySOCKS แสดงให้เห็นว่าได้รับแรงบันดาลใจจากเวอร์ชัน Linux ของ เดรุสบีซึ่งเป็นกลุ่ม RAT ที่พัฒนาอย่างต่อเนื่องซึ่งผู้แสดงภัยคุกคามขั้นสูงแบบถาวรใช้มาตั้งแต่ปี 2008 นอกจากนี้ โครงสร้างพื้นฐานคำสั่งและการควบคุม (C2) ของ SprySOCKS ยังคล้ายคลึงกับผู้แสดงภัยคุกคามที่เกี่ยวข้องกับ RAT ระยะที่สองที่เรียกว่า ใบแดง ได้ใช้ในการรณรงค์จารกรรมทางไซเบอร์มานานกว่าห้าปี เทรนด์ไมโครกล่าว
เช่นเดียวกับมัลแวร์อื่นๆ ในตระกูล SprySOCKS รวมเอาฟังก์ชันต่างๆ ไว้ด้วยกัน รวมถึงการรวบรวมข้อมูลระบบ การเริ่มต้นเชลล์เชิงโต้ตอบ การแสดงรายการการเชื่อมต่อเครือข่าย และการอัปโหลดและการกรองไฟล์
นักแสดงภัยคุกคามที่เข้าใจยาก
Earth Lusca เป็นภัยคุกคามที่ค่อนข้างเข้าใจยากซึ่ง Trend Micro สังเกตมาตั้งแต่กลางปี 2021 โดยกำหนดเป้าหมายไปที่องค์กรต่างๆ ในเอเชียตะวันออกเฉียงใต้ และล่าสุดในเอเชียกลาง คาบสมุทรบอลข่าน ละตินอเมริกา และแอฟริกา หลักฐานบ่งชี้ว่ากลุ่มนี้เป็นส่วนหนึ่งของ วินติซึ่งเป็นกลุ่มจารกรรมทางไซเบอร์กลุ่มหลวมๆ ที่เชื่อว่าทำงานในนามของหรือสนับสนุนวัตถุประสงค์ทางเศรษฐกิจของจีน
เป้าหมายของ Earth Lusca ได้แก่ หน่วยงานภาครัฐและสถาบันการศึกษา กลุ่มสนับสนุนประชาธิปไตยและสิทธิมนุษยชน กลุ่มศาสนา องค์กรสื่อ และองค์กรที่ทำการวิจัยเกี่ยวกับโควิด-19 มีความสนใจเป็นพิเศษต่อหน่วยงานภาครัฐที่เกี่ยวข้องกับการต่างประเทศ โทรคมนาคม และเทคโนโลยี ในเวลาเดียวกัน แม้ว่าการโจมตีของ Earth Lusca ส่วนใหญ่ดูเหมือนจะเกี่ยวข้องกับการจารกรรมทางไซเบอร์ แต่ในบางครั้งฝ่ายตรงข้ามก็ไล่ตามบริษัทสกุลเงินดิจิทัลและการพนันด้วยเช่นกัน โดยบอกว่ามีแรงจูงใจทางการเงินเช่นกัน Trend Micro กล่าว
ในการโจมตีหลายครั้ง ผู้คุกคามได้ใช้ฟิชชิ่งแบบหอก การหลอกลวงทางวิศวกรรมสังคมทั่วไป และการโจมตีแบบ Watering Hole เพื่อพยายามตั้งหลักบนเครือข่ายเป้าหมาย ตั้งแต่ต้นปีนี้ นักแสดงของ Earth Lusca ยังได้กำหนดเป้าหมายเชิงรุกที่เรียกว่าช่องโหว่ "n-day" ในแอปพลิเคชันที่เชื่อมต่อกับเว็บเพื่อแทรกซึมเครือข่ายของเหยื่อ ช่องโหว่ n-day เป็นข้อบกพร่องที่ผู้จำหน่ายได้เปิดเผยแล้ว แต่ยังไม่มีแพตช์ให้บริการในปัจจุบัน “เมื่อเร็วๆ นี้ ผู้ก่อภัยคุกคามมีความก้าวร้าวอย่างมากในการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์สาธารณะของเหยื่อด้วยการใช้ประโยชน์จากช่องโหว่ที่ทราบ” เทรนด์ไมโครกล่าว
ในบรรดาข้อบกพร่องมากมายที่ Earth Lusca ถูกพบเห็นในการใช้ประโยชน์ในปีนี้ ได้แก่ CVE-2022-40684, การเลี่ยงผ่านการตรวจสอบสิทธิ์ใน FortiOS ของ Fortinet และเทคโนโลยีอื่น ๆ CVE-2022-39952, ข้อผิดพลาดการเรียกใช้โค้ดจากระยะไกล (RCE) ใน Fortinet FortiNAC; และ CVE-2019-18935, RCE ในความคืบหน้า Telerik UI สำหรับ ASP.NET AJAX ผู้คุกคามรายอื่นได้ใช้ประโยชน์จากจุดบกพร่องเหล่านี้เช่นกัน ตัวอย่างเช่น CVE-2022-40684 เป็นข้อบกพร่องที่ผู้คุกคามที่ได้รับการสนับสนุนจากจีนใช้ในการจารกรรมทางไซเบอร์ที่แพร่หลายซึ่งมีชื่อว่า “โวลต์ไต้ฝุ่น” กำหนดเป้าหมายองค์กรในหลายภาคส่วนที่สำคัญ รวมถึงภาครัฐ การผลิต การสื่อสาร และสาธารณูปโภค
“Earth Lusca ใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์เพื่อแทรกซึมเครือข่ายของเหยื่อ หลังจากนั้นจะปรับใช้ Web Shell และติดตั้ง Cobalt Strike สำหรับการเคลื่อนไหวด้านข้าง” Trend Micro กล่าวในรายงาน “กลุ่มตั้งใจที่จะขโมยเอกสารและข้อมูลประจำตัวบัญชีอีเมล ตลอดจนปรับใช้แบ็คดอร์ขั้นสูงเช่น ShadowPad และ Winnti เวอร์ชัน Linux เพื่อดำเนินกิจกรรมจารกรรมในระยะยาวต่อเป้าหมาย”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign
- :มี
- :เป็น
- 2008
- 2017
- 2021
- 7
- a
- ความสามารถ
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- ข้าม
- อย่างกระตือรือร้น
- กิจกรรม
- นักแสดง
- นอกจากนี้
- สูง
- ความได้เปรียบ
- ธุรกิจ
- แอฟริกา
- หลังจาก
- กับ
- หน่วยงานที่
- ก้าวร้าว
- การอนุญาต
- แล้ว
- ด้วย
- สหรัฐอเมริกา
- an
- และ
- ปรากฏ
- การใช้งาน
- เป็น
- AS
- เอเชีย
- Asp.net
- ที่เกี่ยวข้อง
- At
- การโจมตี
- การยืนยันตัวตน
- ใช้ได้
- ประตูหลัง
- แบ็ค
- BE
- กลายเป็น
- รับ
- การเริ่มต้น
- เริ่ม
- ตัวแทน
- เชื่อว่า
- Bug
- เป็นโรคจิต
- แต่
- by
- ที่เรียกว่า
- รณรงค์
- แคมเปญ
- จับ
- ส่วนกลาง
- เอเชียกลาง
- ชาวจีน
- Cluster
- โคบอลต์
- รหัส
- การเก็บรวบรวม
- ร่วมกัน
- การสื่อสาร
- ความประพฤติ
- การดำเนิน
- การเชื่อมต่อ
- อย่างต่อเนื่อง
- แกน
- Covid-19
- หนังสือรับรอง
- วิกฤติ
- cryptocurrency
- ขณะนี้
- ไซเบอร์
- ปรับใช้
- do
- เอกสาร
- ขนานนามว่า
- โลก
- ด้านเศรษฐกิจ
- เกี่ยวกับการศึกษา
- อีเมล
- ทำให้สามารถ
- ชั้นเยี่ยม
- โดยเฉพาะอย่างยิ่ง
- การจารกรรม
- หลักฐาน
- การพัฒนา
- การปฏิบัติ
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- ครอบครัว
- ลักษณะ
- คุณสมบัติ
- เนื้อไม่มีมัน
- ไฟล์
- ให้เงิน
- บริษัท
- ห้า
- ข้อบกพร่อง
- ข้อบกพร่อง
- สำหรับ
- ต่างประเทศ
- Fortinet
- ราคาเริ่มต้นที่
- ฟังก์ชั่น
- ต่อไป
- พนัน
- ได้รับ
- ไป
- ได้
- รัฐบาล
- หน่วยงานภาครัฐ
- บัญชีกลุ่ม
- กลุ่ม
- มี
- มี
- อย่างสูง
- HTML
- HTTPS
- เป็นมนุษย์
- สิทธิมนุษยชน
- การดำเนินงาน
- in
- ประกอบด้วย
- รวม
- รวมทั้ง
- ข้อมูล
- โครงสร้างพื้นฐาน
- แรงบันดาลใจ
- ติดตั้ง
- ตัวอย่าง
- สถาบัน
- ตั้งใจ
- การโต้ตอบ
- สนใจ
- ร่วมมือ
- IT
- ITS
- jpg
- ที่รู้จักกัน
- ละติน
- ละตินอเมริกา
- น้อยที่สุด
- กดไลก์
- น่าจะ
- ลินุกซ์
- รายการ
- เข้าสู่ระบบ
- ระยะยาว
- หลัก
- มัลแวร์
- การจัดการ
- การผลิต
- หลาย
- ภาพบรรยากาศ
- ไมโคร
- ข้อมูลเพิ่มเติม
- มากที่สุด
- แรงบันดาลใจ
- การเคลื่อนไหว
- หลาย
- สุทธิ
- เครือข่าย
- เครือข่าย
- ไม่
- วัตถุประสงค์
- โอกาส
- of
- on
- ONE
- or
- องค์กร
- ต้นตอ
- อื่นๆ
- ส่วนหนึ่ง
- ปะ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ก่อนหน้านี้
- ความคืบหน้า
- สาธารณชน
- หนู
- เมื่อเร็ว ๆ นี้
- ภูมิภาค
- รีจิสทรี
- ที่เกี่ยวข้อง
- รีโมท
- การเข้าถึงระยะไกล
- รายงาน
- การวิจัย
- นักวิจัย
- คล้าย
- สิทธิ
- ประจำวัน
- s
- กล่าวว่า
- เดียวกัน
- หลอกลวง
- จอภาพ
- ภาค
- เซิร์ฟเวอร์
- เซิร์ฟเวอร์
- หลาย
- เปลือก
- โชว์
- ตั้งแต่
- สังคม
- วิศวกรรมทางสังคม
- ค่อนข้าง
- ทิศตะวันออกเฉียงใต้
- เอเชีย ตะวันออกเฉียงใต้
- โขก
- อย่างเช่น
- ชี้ให้เห็นถึง
- สนับสนุน
- ระบบ
- ระบบ
- ใช้เวลา
- ก๊อก
- เป้า
- กำหนดเป้าหมาย
- เป้าหมาย
- เทคโนโลยี
- เทคโนโลยี
- โทรคมนาคม
- กว่า
- ที่
- พื้นที่
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- นี้
- ในปีนี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- เวลา
- ไปยัง
- เครื่องมือ
- การติดตาม
- เทรนด์
- โทรจัน
- ลอง
- ui
- อัปโหลด
- มือสอง
- การใช้
- ยูทิลิตี้
- ตัวแปร
- ผู้ขาย
- รุ่น
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- ช่องโหว่
- ความอ่อนแอ
- คือ
- เว็บ
- ดี
- ที่
- ในขณะที่
- ใคร
- แพร่หลาย
- จะ
- หน้าต่าง
- กับ
- การทำงาน
- ปี
- ปี
- ลมทะเล