“Earth Lusca”, một kẻ gián điệp mạng có liên kết với Trung Quốc đang tích cực nhắm mục tiêu vào các tổ chức chính phủ ở Châu Á, Châu Mỹ Latinh và các khu vực khác kể từ ít nhất là năm 2021, đã bắt đầu sử dụng cửa hậu Linux với các tính năng có vẻ lấy cảm hứng từ nhiều công cụ phần mềm độc hại đã biết trước đó.
Phần mềm độc hại mà các nhà nghiên cứu tại Trend Micro được phát hiện và đang được theo dõi với tên gọi “SprySOCKS”, trước hết là một biến thể Linux của “Trochilus”, một Trojan truy cập từ xa (RAT) của Windows có mã bị rò rỉ và được công khai vào năm 2017.
Biến thể Linux của Windows Backdoor
Trochilus có nhiều chức năng, bao gồm việc cho phép các tác nhân đe dọa cài đặt và gỡ cài đặt tệp từ xa, ghi lại các lần nhấn phím và chụp ảnh màn hình, quản lý tệp và chỉnh sửa sổ đăng ký. Một tính năng cốt lõi của phần mềm độc hại là khả năng cho phép di chuyển ngang. Theo Trend Micro, quy trình thực thi chính và các chuỗi của SprySOCKS cho thấy nó có nguồn gốc từ Trochilus và có một số chức năng được triển khai lại cho các hệ thống Linux.
Ngoài ra, việc triển khai Earth Lusca của lớp vỏ tương tác SprySOCKS cho thấy nó được lấy cảm hứng từ phiên bản Linux của Derusbi, một họ RAT liên tục phát triển mà các tác nhân đe dọa liên tục nâng cao đã sử dụng từ năm 2008. Ngoài ra, cơ sở hạ tầng chỉ huy và kiểm soát (C2) của SprySOCKS giống với cơ sở hạ tầng mà các tác nhân đe dọa liên quan đến RAT giai đoạn hai được gọi là Lá đỏ Trend Micro cho biết đã sử dụng chúng trong các chiến dịch gián điệp mạng trong hơn XNUMX năm.
Giống như các phần mềm độc hại khác cùng loại, SprySOCKS kết hợp nhiều chức năng bao gồm thu thập thông tin hệ thống, khởi tạo lớp vỏ tương tác, liệt kê các kết nối mạng cũng như tải lên và lọc tệp.
Tác nhân đe dọa khó nắm bắt
Earth Lusca là một mối đe dọa khó nắm bắt mà Trend Micro đã quan sát thấy từ giữa năm 2021, nhắm mục tiêu vào các tổ chức ở Đông Nam Á và gần đây là ở Trung Á, Balkan, Mỹ Latinh và Châu Phi. Bằng chứng cho thấy nhóm này là một phần của Winnti, một nhóm lỏng lẻo gồm các nhóm gián điệp mạng được cho là đang hoạt động thay mặt hoặc hỗ trợ các mục tiêu kinh tế của Trung Quốc.
Mục tiêu của Earth Lusca bao gồm các tổ chức chính phủ và giáo dục, các nhóm ủng hộ dân chủ và nhân quyền, các nhóm tôn giáo, tổ chức truyền thông và các tổ chức tiến hành nghiên cứu về COVID-19. Nó đặc biệt quan tâm đến các cơ quan chính phủ liên quan đến đối ngoại, viễn thông và công nghệ. Đồng thời, trong khi hầu hết các cuộc tấn công của Earth Lusca dường như có liên quan đến gián điệp mạng, đôi khi kẻ thù cũng nhắm tới các công ty tiền điện tử và cờ bạc, cho thấy nó cũng có động cơ tài chính, Trend Micro cho biết.
Trong nhiều cuộc tấn công của mình, kẻ đe dọa đã sử dụng lừa đảo trực tuyến, lừa đảo kỹ thuật xã hội phổ biến và tấn công lỗ tưới nước để cố gắng giành được chỗ đứng trên mạng mục tiêu. Kể từ đầu năm nay, các tác nhân Earth Lusca cũng đã ráo riết nhắm mục tiêu vào cái gọi là lỗ hổng “n-day” trong các ứng dụng truy cập Web để xâm nhập vào mạng nạn nhân. Lỗ hổng n-day là lỗ hổng mà nhà cung cấp đã tiết lộ nhưng hiện chưa có bản vá nào. Trend Micro cho biết: “Gần đây, kẻ đe dọa đã rất tích cực nhắm mục tiêu vào các máy chủ công khai của nạn nhân bằng cách khai thác các lỗ hổng đã biết”.
Trong số rất nhiều lỗ hổng mà Earth Lusca đã được quan sát khai thác trong năm nay là CVE-2022-40684, lỗ hổng bỏ qua xác thực trong FortiOS của Fortinet và các công nghệ khác; CVE-2022-39952, lỗi thực thi mã từ xa (RCE) trong Fortinet FortiNAC; Và CVE-2019-18935, một RCE đang được tiến hành Telerik UI cho ASP.NET AJAX. Các tác nhân đe dọa khác cũng đã khai thác những lỗi này. Ví dụ: CVE-2022-40684 là một lỗ hổng mà một kẻ đe dọa được Trung Quốc hậu thuẫn đã sử dụng trong một chiến dịch gián điệp mạng rộng khắp có tên là “Bão Volt,” nhắm mục tiêu vào các tổ chức trên nhiều lĩnh vực quan trọng bao gồm chính phủ, sản xuất, truyền thông và tiện ích.
Trend Micro cho biết trong báo cáo của mình: “Earth Lusca lợi dụng các lỗ hổng của máy chủ để xâm nhập vào mạng của nạn nhân, sau đó nó sẽ triển khai một web shell và cài đặt Cobalt Strike để di chuyển theo chiều ngang”. “Nhóm này có ý định lọc các tài liệu và thông tin xác thực tài khoản email, cũng như triển khai thêm các cửa hậu nâng cao như ShadowPad và phiên bản Linux của Winnti để tiến hành các hoạt động gián điệp lâu dài chống lại các mục tiêu của nó.”
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign
- : có
- :là
- 2008
- 2017
- 2021
- 7
- a
- có khả năng
- truy cập
- Theo
- Tài khoản
- ngang qua
- tích cực
- hoạt động
- diễn viên
- Ngoài ra
- tiên tiến
- Lợi thế
- Giao
- Châu Phi
- Sau
- chống lại
- cơ quan
- tích cực
- Cho phép
- Đã
- Ngoài ra
- Mỹ
- an
- và
- xuất hiện
- các ứng dụng
- LÀ
- AS
- Á
- asp.net
- liên kết
- At
- Các cuộc tấn công
- Xác thực
- có sẵn
- cửa sau
- Backdoors
- BE
- đã trở thành
- được
- Bắt đầu
- đã bắt đầu
- thay mặt
- tin
- Bug
- lỗi
- nhưng
- by
- gọi là
- Chiến dịch
- Chiến dịch
- chụp
- trung tâm
- trung á
- Trung Quốc
- cụm
- Chất bạch kim
- mã
- Thu
- Chung
- Giao tiếp
- Tiến hành
- Tiến hành
- Kết nối
- liên tục
- Trung tâm
- Covid-19
- Credentials
- quan trọng
- cryptocurrency
- Hiện nay
- không gian mạng
- triển khai
- do
- tài liệu
- được mệnh danh là
- trái đất
- Kinh tế
- Tư vấn Giáo dục
- cho phép
- Kỹ Sư
- đặc biệt
- gián điệp
- bằng chứng
- phát triển
- thực hiện
- khai thác
- khai thác
- gia đình
- Đặc tính
- Tính năng
- Tập tin
- Các tập tin
- tài chính
- hãng
- năm
- lỗ hổng
- sai sót
- Trong
- nước ngoài
- Fortinet
- từ
- chức năng
- xa hơn
- Cờ bạc
- được
- đi
- có
- Chính phủ
- cơ quan chính phủ
- Nhóm
- Các nhóm
- có
- Có
- cao
- HTML
- HTTPS
- Nhân loại
- nhân quyền
- thực hiện
- in
- bao gồm
- bao gồm
- Bao gồm
- thông tin
- Cơ sở hạ tầng
- lấy cảm hứng từ
- cài đặt, dựng lên
- ví dụ
- tổ chức
- dự định
- tương tác
- quan tâm
- tham gia
- IT
- ITS
- jpg
- nổi tiếng
- Tiếng Latin
- Mỹ La-tinh
- ít nhất
- Lượt thích
- Có khả năng
- linux
- niêm yết
- đăng nhập
- lâu
- Chủ yếu
- phần mềm độc hại
- quản lý
- sản xuất
- nhiều
- Phương tiện truyền thông
- vi
- chi tiết
- hầu hết
- động cơ
- phong trào
- nhiều
- net
- mạng
- mạng
- Không
- mục tiêu
- Nhân dịp
- of
- on
- ONE
- or
- tổ chức
- nguồn gốc
- Nền tảng khác
- một phần
- Vá
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- trước đây
- Tiến độ
- công khai
- CON CHUỘT
- gần đây
- vùng
- đăng ký
- liên quan
- xa
- truy cập từ xa
- báo cáo
- nghiên cứu
- nhà nghiên cứu
- giống
- quyền
- thường xuyên
- s
- Nói
- tương tự
- lừa đảo
- Màn
- Ngành
- máy chủ
- Các máy chủ
- một số
- Shell
- hiển thị
- kể từ khi
- Mạng xã hội
- Kỹ thuật xã hội
- phần nào
- Đông Nam
- Đông Nam Á
- đình công
- như vậy
- Gợi ý
- hỗ trợ
- hệ thống
- hệ thống
- mất
- Vòi nước
- Mục tiêu
- nhắm mục tiêu
- mục tiêu
- Công nghệ
- Công nghệ
- viễn thông
- hơn
- việc này
- Sản phẩm
- Kia là
- điều này
- năm nay
- mối đe dọa
- diễn viên đe dọa
- thời gian
- đến
- công cụ
- Theo dõi
- khuynh hướng
- Trojan
- thử
- ui
- Đang tải lên
- đã sử dụng
- sử dụng
- tiện ích
- biến thể
- nhà cung cấp
- phiên bản
- nạn nhân
- nạn nhân
- Lỗ hổng
- dễ bị tổn thương
- là
- web
- TỐT
- cái nào
- trong khi
- có
- phổ biến rộng rãi
- sẽ
- cửa sổ
- với
- đang làm việc
- năm
- năm
- zephyrnet