專門研究網路安全問題的日本趨勢科技公司的專家發現了惡意程式 SprySOCKS,該程式用於攻擊運行 Linux 系列系統的電腦。
新的惡意軟體來自Windows後門Trochilus, 發現 2015 年由 Arbor Networks 公司的研究人員發現,它僅在記憶體中啟動和執行,其有效負載不會儲存在磁碟上,這使得檢測變得非常複雜。 今年 2 月,趨勢科技研究人員在一個組織使用的伺服器上發現了一個名為「libmonitor.so.2021」的文件,該組織自 2 年以來一直在監視該組織的活動。 在 VirusTotal 資料庫中,他們發現了相關的可執行檔“mkmon”,該檔案有助於解密“libmonitor.so.”並揭示其有效負載。
事實證明,這是一個複雜的 Linux 惡意程序,其功能與 Trochilus 的功能部分重合,並且具有 Socket Secure (SOCKS) 協議的原始實現,因此該惡意軟體被命名為 SprySOCKS。 它允許您收集有關係統的信息,啟動遠端管理命令介面(shell),形成網路連接列表,部署基於SOCKS協定的代理伺服器以在受感染系統和攻擊者的命令伺服器之間交換數據,以及執行其他操作。 指定惡意軟體的版本表明它仍在開發中。
研究人員認為 SprySOCKS 是由地球 Lusca 組織的駭客使用的——它在 2021 年首次被發現,一年後出現在網路犯罪分子名單上。 該組織使用社會工程方法來感染系統。 SprySOCKS 安裝 Cobalt Strike 和 Winnti 軟體套件作為有效負載。 第一個是用來尋找和利用漏洞的工具包; 第二個已有十多年歷史,與中國當局聯繫。 有一個版本稱,主要針對亞洲目標的 Earth Lusca 組織旨在挪用資金,因為其受害者往往是賭博和加密貨幣公司。
另請閱讀: