Siber güvenlik konularında uzmanlaşmış Japon Trend Micro firmasından uzmanlar, Linux sistem ailesiyle çalışan makinelere saldırmak için kullanılan kötü amaçlı SprySOCKS programını keşfetti.
Yeni kötü amaçlı yazılım Windows'un arka kapısı Trochilus'tan geliyor. keşfetti 2015'te Arbor Networks şirketinden araştırmacılar tarafından başlatıldı ve yalnızca bellekte çalıştırıldı ve yükü disklerde saklanmadı, bu da algılamayı önemli ölçüde zorlaştırıyor. Bu yılın haziran ayında Trend Micro araştırmacıları, 2'den bu yana faaliyetlerini izledikleri bir grubun kullandığı sunucuda "libmonitor.so.2021" adlı bir dosya keşfetti. VirusTotal veritabanında, "libmonitor.so.2"nin şifresinin çözülmesine ve yükünün açığa çıkmasına yardımcı olan ilgili yürütülebilir "mkmon" dosyasını keşfettiler.
Bunun, işlevselliği Trochilus'un yetenekleriyle kısmen örtüşen ve Soket Güvenli (SOCKS) protokolünün orijinal bir uygulamasına sahip olan, Linux için karmaşık bir kötü amaçlı program olduğu ortaya çıktı, bu nedenle kötü amaçlı yazılıma SprySOCKS adı verildi. Sistem hakkında bilgi toplamanıza, uzaktan yönetim komut arayüzünü (kabuk) başlatmanıza, ağ bağlantılarının bir listesini oluşturmanıza, ele geçirilen sistem ile saldırganın komut sunucusu arasında veri alışverişi yapmak için SOCKS protokolünü temel alan bir proxy sunucusu dağıtmanıza ve diğer işlemleri gerçekleştirin. Kötü amaçlı yazılımın sürümlerini belirtmek, yazılımın hala geliştirilme aşamasında olduğunu gösteriyor.
Araştırmacılar, SprySOCKS'un Earth Lusca grubundaki bilgisayar korsanları tarafından kullanıldığını öne sürüyor; ilk olarak 2021'de keşfedildi ve bir yıl sonra siber suçlular listesinde yer aldı. Grup, sistemlere bulaşmak için sosyal mühendislik yöntemlerini kullanıyor. SprySOCKS, Cobalt Strike ve Winnti paketlerini yük olarak yükler. Birincisi, güvenlik açıklarını bulmaya ve bunlardan yararlanmaya yönelik bir kittir; on yıldan daha eski olan ikincisi Çinli yetkililerle temasa geçiyor. Esas olarak Asya hedefleriyle çalışan Earth Lusca grubunun, kurbanları genellikle kumar ve kripto para birimleriyle uğraşan şirketler olduğu için fonları zimmete geçirmeyi amaçladığı bir versiyon var.
Ayrıca okuyun:
- Microsoft Siber güvenliği "açıkça ihmal etmekle" suçlandı
- Bilgisayar korsanları en modern astronomik gözlemevlerinden birini devre dışı bıraktı