En az 2021’den beri Asya, Latin Amerika ve diğer bölgelerdeki devlet kuruluşlarını aktif olarak hedef alan Çin bağlantılı bir siber casusluk aktörü olan “Earth Lusca”, daha önce bilinen birçok kötü amaçlı yazılım aracından ilham alan özelliklere sahip bir Linux arka kapısını kullanmaya başladı.
Araştırmacıların araştırdığı kötü amaçlı yazılım Trend Micro keşfedildi ve “SprySOCKS” olarak izlenen bu virüs, öncelikle kodu 2017’de sızdırılan ve kamuya açık hale gelen bir Windows uzaktan erişim Truva Atı (RAT) olan “Trochilus”un Linux versiyonudur.
Windows Arka Kapısının Linux Varyantı
Trochilus’un var çoklu işlevler, Tehdit aktörlerinin dosyaları uzaktan yüklemesine ve kaldırmasına, tuş vuruşlarını günlüğe kaydetmesine, ekran görüntüleri almasına, dosya yönetimine ve kayıt defteri düzenlemesine izin verilmesi buna dahildir. Kötü amaçlı yazılımın temel özelliklerinden biri, yanal hareketi mümkün kılma yeteneğidir. Trend Micro’ya göre, SprySOCKS’un ana yürütme rutini ve dizeleri, onun Trochilus’tan kaynaklandığını ve birçok işlevinin Linux sistemleri için yeniden uygulandığını gösteriyor.
Ek olarak, SprySOCKS’un etkileşimli kabuğunun Earth Lusca uygulaması, bunun Linux sürümünden ilham aldığını gösteriyor. Derusbi2008’den bu yana gelişmiş kalıcı tehdit aktörlerinin kullandığı, sürekli gelişen bir RAT ailesi. Ayrıca SprySOCKS’un komuta ve kontrol (C2) altyapısı, tehdit aktörlerinin ikinci aşama RAT adı verilen bir RAT ile ilişkilendirildiği altyapıya benziyor. Kırmızı yapraklar Trend Micro, bunların beş yılı aşkın bir süredir siber casusluk kampanyalarında kullanıldığını söyledi.
Kendi türündeki diğer kötü amaçlı yazılımlar gibi SprySOCKS de sistem bilgilerini toplamak, etkileşimli bir kabuk başlatmak, ağ bağlantılarını listelemek ve dosyaları yüklemek ve dışarı çıkarmak dahil olmak üzere birçok işlevi bünyesinde barındırır.
Yakalanması Zor Tehdit Aktörü
Earth Lusca, Trend Micro’nun 2021 ortasından bu yana gözlemlediği, Güneydoğu Asya’daki ve son zamanlarda Orta Asya, Balkanlar, Latin Amerika ve Afrika’daki kuruluşları hedef alan, bulunması zor bir tehdit aktörüdür. Kanıtlar, grubun Çin’in ekonomik hedefleri adına veya onları desteklemek için çalıştığına inanılan gevşek bir siber casusluk grupları kümesi olan Winnti’nin bir parçası olduğunu gösteriyor.
Earth Lusca’nın hedefleri arasında hükümet ve eğitim kurumları, demokrasi yanlısı ve insan hakları grupları, dini gruplar, medya kuruluşları ve COVID-19 araştırması yürüten kuruluşlar yer alıyor. Özellikle dış ilişkiler, telekomünikasyon ve teknolojiyle ilgilenen devlet kurumlarıyla ilgilenmektedir. Aynı zamanda, Trend Micro, Earth Lusca’nın saldırılarının çoğunun siber casuslukla ilgili gibi görünse de, zaman zaman düşmanın kripto para birimi ve kumar şirketlerinin de peşine düştüğünü ve bunun da finansal amaçlı olduğunu öne sürdüğünü söyledi.
Tehdit aktörü, saldırılarının çoğunda, hedef ağda yer edinmeye çalışmak için hedef odaklı kimlik avı, yaygın sosyal mühendislik dolandırıcılıkları ve sulama deliği saldırılarını kullandı. Bu yılın başından bu yana Earth Lusca aktörleri, kurban ağlarına sızmak için Web’e yönelik uygulamalardaki sözde “n-gün” güvenlik açıklarını agresif bir şekilde hedef alıyor. N günlük güvenlik açığı, bir satıcının zaten açıkladığı ancak şu anda herhangi bir yama bulunmayan bir kusurdur. Trend Micro, “Son zamanlarda tehdit aktörü, bilinen güvenlik açıklarından yararlanarak kurbanlarının halka açık sunucularını hedefleme konusunda oldukça agresif davrandı” dedi.
Earth Lusca’nın bu yıl istismar ettiği gözlemlenen pek çok kusur arasında şunlar yer alıyor: CVE-2022-40684Fortinet’in FortiOS ve diğer teknolojilerindeki bir kimlik doğrulama atlama güvenlik açığı; CVE-2022-39952Fortinet FortiNAC’ta bir uzaktan kod yürütme (RCE) hatası; Ve CVE-2019-18935, ASP.NET AJAX için bir RCE in Progress Telerik kullanıcı arayüzü. Diğer tehdit aktörleri de bu hatalardan yararlandı. Örneğin CVE-2022-40684, muhtemelen Çin destekli bir tehdit aktörünün, hükümet, imalat, iletişim ve kamu hizmetleri de dahil olmak üzere çok sayıda kritik sektördeki kuruluşları hedef alan “Volt Typhoon” adlı yaygın bir siber casusluk kampanyasında kullandığı bir kusurdur.
Trend Micro raporunda, “Earth Lusca, kurbanının ağlarına sızmak için sunucudaki güvenlik açıklarından yararlanıyor, ardından bir web kabuğu dağıtacak ve yanal hareket için Cobalt Strike’ı kuracak” dedi. “Grup, hedeflerine karşı uzun vadeli casusluk faaliyetleri yürütmek için belgeleri ve e-posta hesabı kimlik bilgilerini sızdırmanın yanı sıra ShadowPad ve Winnti’nin Linux sürümü gibi gelişmiş arka kapıları daha da dağıtmayı planlıyor.”
