Sérfræðingar frá japanska fyrirtækinu Trend Micro, sem sérhæfir sig í netöryggismálum, uppgötvuðu illgjarna forritið SprySOCKS sem er notað til að ráðast á vélar sem keyra Linux kerfisfjölskylduna.
Nýja spilliforritið kemur frá Windows bakdyrum Trochilus, uppgötvaði 2015 af rannsakendum frá Arbor Networks fyrirtækinu, það er ræst og keyrt aðeins í minni og hleðsla þess er ekki geymd á diskum, sem flækir uppgötvunina verulega. Í júní á þessu ári uppgötvuðu rannsakendur Trend Micro skrá sem heitir „libmonitor.so.2“ á netþjóni sem hópur notar sem þeir höfðu fylgst með síðan 2021. Í VirusTotal gagnagrunninum uppgötvuðu þeir tilheyrandi keyrsluskrána „mkmon“, sem hjálpaði til við að afkóða „libmonitor.so.2“ og sýna hleðslu hennar.
Það kom í ljós að þetta er flókið skaðlegt forrit fyrir Linux, virkni þess fellur að hluta til saman við getu Trochilus og hefur upprunalega útfærslu á Socket Secure (SOCKS) samskiptareglunum, þannig að spilliforritið fékk nafnið SprySOCKS. Það gerir þér kleift að safna upplýsingum um kerfið, ræsa fjarstýringarviðmót (skel), mynda lista yfir nettengingar, setja upp proxy-miðlara sem byggir á SOCKS samskiptareglum til að skiptast á gögnum á milli kerfisins sem er í hættu og stjórnkerfis árásarmannsins, og framkvæma aðrar aðgerðir. Að tilgreina útgáfur spilliforritsins bendir til þess að það sé enn í þróun.
Vísindamenn benda til þess að SprySOCKS sé notað af tölvuþrjótum frá Earth Lusca hópnum - það var fyrst uppgötvað árið 2021 og það birtist á lista yfir netglæpamenn ári síðar. Hópurinn notar félagslegar verkfræðiaðferðir til að smita kerfi. SprySOCKS setur upp Cobalt Strike og Winnti pakkana sem hleðslu. Hið fyrra er sett til að finna og nýta veikleika; sá síðari, sem er meira en tíu ára, hefur samband við kínversk yfirvöld. Það er til útgáfa að Earth Lusca hópurinn, sem vinnur aðallega með asísk skotmörk, stefnir að því að svíkja út fjármuni, vegna þess að fórnarlömb þess eru oft fyrirtæki sem taka þátt í fjárhættuspilum og dulritunargjaldmiðlum.
Lestu líka:
- Microsoft var sakaður um „einstaklega vanrækslu“ á netöryggi
- Tölvuþrjótar slökktu á einni af nútímalegustu stjörnustöðvum