Sommario
Un gruppo di hacker cinesi focalizzati sullo spionaggio, noti come “Earth Lusca”, è stato osservato mentre mirava ad agenzie governative in diversi paesi, utilizzando un nuovo backdoor per Linux chiamato “SprySOCKS”. Secondo l’analisi di Trend Micro, il malware sembra originare dal malware open-source per Windows Trochilus, con molte delle sue funzioni adattate per funzionare sui sistemi Linux.
Dettagli tecnici
Il malware sembra essere una miscela di più malware, in quanto il protocollo di comunicazione del server di comando e controllo (C2) di SprySOCKS è simile a RedLeaves, un backdoor per Windows, mentre l’implementazione della shell interattiva sembra derivare da Derusbi, un malware per Linux.
Attacchi di Earth Lusca
Earth Lusca è rimasto attivo durante la prima metà dell’anno, prendendo di mira entità governative chiave focalizzate su affari esteri, tecnologia e telecomunicazioni nel Sud-Est asiatico, Asia centrale, Balcani e in tutto il mondo. Trend Micro ha segnalato tentativi di sfruttamento di diverse vulnerabilità remote non autenticate risalenti tra il 2019 e il 2022, che colpiscono punti di accesso esposti su internet.
Queste vulnerabilità vengono sfruttate per rilasciare beacon Cobalt Strike, che consentono l’accesso remoto alla rete violata. Questo accesso viene utilizzato per diffondersi lateralmente nella rete mentre vengono esfiltrati file, rubate credenziali di accesso e distribuiti payload aggiuntivi, come ShadowPad.
Gli attori della minaccia utilizzano anche i beacon Cobalt Strike per rilasciare il loader SprySOCKS, una variante dell’iniettore Linux ELF chiamato “mandibule”, che arriva sulle macchine bersaglio sotto forma di un file denominato ‘libmonitor.so.2′. I ricercatori di Trend Micro affermano che gli aggressori hanno adattato mandibule alle loro esigenze, sebbene in modo un po’ affrettato, lasciando dietro messaggi di debug e simboli.
Capacità di SprySOCKS
La backdoor SprySOCKS utilizza un framework di networking ad alte prestazioni chiamato ‘HP-Socket’ per il suo funzionamento, mentre le sue comunicazioni TCP con il C2 sono criptate AES-ECB. Le principali funzionalità di questo nuovo malware includono:
- Raccolta di informazioni sul sistema (dettagli OS, memoria, indirizzo IP, nome del gruppo, lingua, CPU),
- Avvio di una shell interattiva che utilizza il sottosistema PTY,
- Elencazione delle connessioni di rete,
- Gestione delle configurazioni proxy SOCKS,
- Esecuzione di operazioni di file di base (upload, download, elencazione, cancellazione, rinominazione e creazione di directory).
Il malware genera anche un ID cliente (numero della vittima) utilizzando l’indirizzo MAC della prima interfaccia di rete elencata e alcune caratteristiche della CPU, convertendolo in una stringa esadecimale di 28 byte. Trend Micro ha segnalato di aver campionato due versioni di SprySOCKS, v1.1 e v.1.3.6, indicando uno sviluppo attivo del malware.