El actor de amenazas vinculado a China conocido como Tierra Lusca Se ha observado que apunta a entidades gubernamentales utilizando una puerta trasera de Linux nunca antes vista llamada SprySOCKS.
Earth Lusca fue documentado por primera vez por Trend Micro en enero de 2022, y detalla los ataques del adversario contra entidades del sector público y privado en Asia, Australia, Europa y América del Norte.
Activo desde 2021, el grupo se ha basado en ataques de phishing y abrevadero para llevar a cabo sus esquemas de ciberespionaje. Algunas actividades del grupo se superponen con otro grupo de amenazas rastreado por Recorded Future bajo el nombre de RedHotel.
Los últimos hallazgos de la firma de ciberseguridad muestran que Earth Lusca continúa siendo un grupo activo, incluso ampliando sus operaciones para apuntar a organizaciones de todo el mundo durante la primera mitad de 2023.
Los objetivos principales incluyen departamentos gubernamentales involucrados en asuntos exteriores, tecnología y telecomunicaciones. Los ataques se concentran en el sudeste asiático, Asia central y los Balcanes.
Las secuencias de infección comienzan con la explotación de fallas de seguridad conocidas en Fortinet público (CVE-2022-39952 y CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE). -2019-18935) y servidores Zimbra (CVE-2019-9621 y CVE-2019-9670) para soltar proyectiles web y entregar Cobalt Strike para movimiento lateral.
«El grupo tiene la intención de exfiltrar documentos y credenciales de cuentas de correo electrónico, así como implementar aún más puertas traseras avanzadas como ShadowPad y la versión Linux de winnti llevar a cabo actividades de espionaje a largo plazo contra sus objetivos», afirmaron los investigadores de seguridad Joseph C. Chen y Jaromir Horejsi. dicho.
También se ha observado que el servidor utilizado para entregar Cobalt Strike y Winnti aloja SprySOCKS, que tiene sus raíces en la puerta trasera de código abierto de Windows. tróquilo. Vale la pena señalar que el uso de Trochilus se ha relacionado en el pasado con un grupo de hackers chinos llamado Webworm.
Cargado mediante una variante de un componente de inyector ELF conocido como mandíbulaSprySOCKS está equipado para recopilar información del sistema, iniciar un shell interactivo, crear y finalizar el proxy SOCKS y realizar diversas operaciones de archivos y directorios.
Seguridad Level-Up SaaS: una guía completa para ITDR y SSPM
Manténgase a la vanguardia con conocimientos prácticos sobre cómo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.
La comunicación de comando y control (C2) consiste en paquetes enviados a través del protocolo TCP (Protocolo de control de transmisión), que refleja una estructura utilizada por un troyano basado en Windows denominado Hojas rojasse dice que está construido sobre Trochilus.
Hasta la fecha se han identificado al menos dos muestras diferentes de SprySOCKS (versiones 1.1 y 1.3.6), lo que sugiere que los atacantes modifican continuamente el malware para agregar nuevas funciones.
«Es importante que las organizaciones gestionen proactivamente su superficie de ataque, minimizando los posibles puntos de entrada a su sistema y reduciendo la probabilidad de una infracción exitosa», dijeron los investigadores.
«Las empresas deben aplicar parches periódicamente y actualizar sus herramientas, software y sistemas para garantizar su seguridad, funcionalidad y rendimiento general».