Çin bağlantılı tehdit aktörü olarak bilinen Dünya Lusca SprySOCKS adı verilen daha önce görülmemiş bir Linux arka kapısını kullanarak devlet kurumlarını hedef aldığı gözlemlendi.
Earth Lusca, Trend Micro tarafından ilk olarak Ocak 2022’de belgelendi ve düşmanın Asya, Avustralya, Avrupa ve Kuzey Amerika’daki kamu ve özel sektör kuruluşlarına yönelik saldırılarının ayrıntıları verildi.
2021’den bu yana aktif olan grup, siber casusluk planlarını gerçekleştirmek için hedef odaklı kimlik avı ve sulama deliği saldırılarından yararlanıyor. Grubun bazı faaliyetleri, Recorded Future tarafından RedHotel adı altında takip edilen başka bir tehdit kümesiyle örtüşüyor.
Siber güvenlik firmasından elde edilen son bulgular, Earth Lusca’nın aktif bir grup olmaya devam ettiğini, hatta 2023’ün ilk yarısında operasyonlarını dünya çapındaki kuruluşları hedef alacak şekilde genişlettiğini gösteriyor.
Birincil hedefler arasında dış ilişkiler, teknoloji ve telekomünikasyonla ilgilenen devlet daireleri yer alır. Saldırılar Güneydoğu Asya, Orta Asya ve Balkanlarda yoğunlaşıyor.
Bulaşma dizileri, halka açık Fortinet (CVE-2022-39952 ve CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik Kullanıcı Arayüzü (CVE) üzerindeki bilinen güvenlik açıklarının kullanılmasıyla başlar. -2019-18935) ve Zimbra (CVE-2019-9621 ve CVE-2019-9670) sunucuları ağ mermilerini düşürüyor ve yanal hareket için Kobalt Saldırısı sağlıyor.
“Grup, belgeleri ve e-posta hesabı kimlik bilgilerini sızdırmanın yanı sıra ShadowPad ve Linux sürümü gibi gelişmiş arka kapıları daha da dağıtmayı planlıyor. Winnti güvenlik araştırmacıları Joseph C. Chen ve Jaromir Horejsi, hedeflerine karşı uzun vadeli casusluk faaliyetleri yürütmek için söz konusu.
Cobalt Strike ve Winnti’yi sunmak için kullanılan sunucunun aynı zamanda kökleri açık kaynaklı Windows arka kapısına dayanan SprySOCKS’u da barındırdığı gözlemlendi. Trokilus. Trochilus’un kullanımının geçmişte Webworm adlı Çinli bir bilgisayar korsanlığı ekibiyle bağlantılı olduğunu belirtmekte fayda var.
ELF enjektör bileşeninin bir çeşidi aracılığıyla yüklenir. alt çeneSprySOCKS, sistem bilgilerini toplamak, etkileşimli bir kabuk başlatmak, SOCKS proxy’si oluşturmak ve sonlandırmak ve çeşitli dosya ve dizin işlemlerini gerçekleştirmek için donatılmıştır.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Komuta ve kontrol (C2) iletişimi, İletim Kontrol Protokolü (TCP) protokolü aracılığıyla gönderilen paketlerden oluşur ve bir ağ tarafından kullanılan yapıyı yansıtır. Windows tabanlı truva atı olarak anılır Kırmızı yapraklarTrochilus’un üzerine inşa edildiği söyleniyor.
Bugüne kadar en az iki farklı SprySOCKS örneği (sürüm 1.1 ve 1.3.6) tespit edildi; bu da kötü amaçlı yazılımın saldırganlar tarafından yeni özellikler eklemek için sürekli olarak değiştirildiğini gösteriyor.
Araştırmacılar, “Kuruluşların saldırı yüzeylerini proaktif bir şekilde yönetmeleri, sistemlerine potansiyel giriş noktalarını en aza indirmeleri ve başarılı bir ihlal olasılığını azaltmaları önemlidir” dedi.
“İşletmeler güvenliklerini, işlevselliklerini ve genel performanslarını sağlamak için düzenli olarak yamalar uygulamalı ve araçlarını, yazılımlarını ve sistemlerini güncellemelidir.”