L’acteur menaçant lié à la Chine connu sous le nom de Terre Lusca a été observé ciblant des entités gouvernementales à l’aide d’une porte dérobée Linux inédite appelée SprySOCKS.
Earth Lusca a été documenté pour la première fois par Trend Micro en janvier 2022, détaillant les attaques de l’adversaire contre des entités des secteurs public et privé en Asie, en Australie, en Europe et en Amérique du Nord.
Actif depuis 2021, le groupe s’appuie sur le spear phishing et les attaques de points d’eau pour mener à bien ses programmes de cyberespionnage. Certaines activités du groupe se chevauchent avec un autre groupe de menaces suivi par Recorded Future sous le nom de RedHotel.
Les dernières découvertes de la société de cybersécurité montrent qu’Earth Lusca continue d’être un groupe actif, étendant même ses opérations à des organisations cibles à travers le monde au cours du premier semestre 2023.
Les principales cibles incluent les ministères gouvernementaux impliqués dans les affaires étrangères, la technologie et les télécommunications. Les attaques sont concentrées en Asie du Sud-Est, en Asie centrale et dans les Balkans.
Les séquences d’infection commencent par l’exploitation de failles de sécurité connues dans Fortinet public (CVE-2022-39952 et CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE). -2019-18935) et Zimbra (CVE-2019-9621 et CVE-2019-9670) pour larguer des web shells et lancer Cobalt Strike pour un mouvement latéral.
« Le groupe a l’intention d’exfiltrer des documents et des identifiants de compte de messagerie, ainsi que de déployer davantage de portes dérobées avancées comme ShadowPad et la version Linux de Winnti pour mener des activités d’espionnage à long terme contre ses cibles », les chercheurs en sécurité Joseph C. Chen et Jaromir Horejsi dit.
Il a également été observé que le serveur utilisé pour fournir Cobalt Strike et Winnti héberge SprySOCKS, qui trouve ses racines dans la porte dérobée open source de Windows. Trochile. Il convient de noter que l’utilisation de Trochilus a été liée dans le passé à une équipe de hackers chinois appelée Webworm.
Chargé au moyen d’une variante d’un composant d’injecteur ELF connue sous le nom de mandibuleSprySOCKS est équipé pour collecter des informations système, démarrer un shell interactif, créer et mettre fin au proxy SOCKS et effectuer diverses opérations sur les fichiers et les répertoires.
Niveau de sécurité SaaS : un guide complet sur l’ITDR et le SSPM
Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont l’ITDR identifie et atténue les menaces. Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.
La communication de commande et de contrôle (C2) se compose de paquets envoyés via le protocole TCP (Transmission Control Protocol), reflétant une structure utilisée par un Cheval de Troie basé sur Windows dénommé Feuilles rougeslui-même dit être construit au sommet de Trochilus.
Au moins deux échantillons différents de SprySOCKS (versions 1.1 et 1.3.6) ont été identifiés à ce jour, ce qui suggère que le malware est continuellement modifié par les attaquants pour ajouter de nouvelles fonctionnalités.
« Il est important que les organisations gèrent de manière proactive leur surface d’attaque, en minimisant les points d’entrée potentiels dans leur système et en réduisant la probabilité d’une violation réussie », ont déclaré les chercheurs.
« Les entreprises doivent régulièrement appliquer des correctifs et mettre à jour leurs outils, logiciels et systèmes pour garantir leur sécurité, leurs fonctionnalités et leurs performances globales. »