专门研究网络安全问题的日本趋势科技公司的专家发现了恶意程序 SprySOCKS,该程序用于攻击运行 Linux 系列系统的计算机。
新的恶意软件来自Windows后门Trochilus, 发现 2015 年由 Arbor Networks 公司的研究人员发现,它仅在内存中启动和执行,其有效负载不存储在磁盘上,这使得检测变得非常复杂。 今年 2 月,趋势科技研究人员在一个组织使用的服务器上发现了一个名为“libmonitor.so.2021”的文件,该组织自 2 年以来一直在监视该组织的活动。 在 VirusTotal 数据库中,他们发现了相关的可执行文件“mkmon”,该文件有助于解密“libmonitor.so.”并揭示其有效负载。
事实证明,这是一个复杂的 Linux 恶意程序,其功能与 Trochilus 的功能部分重合,并且具有 Socket Secure (SOCKS) 协议的原始实现,因此该恶意软件被命名为 SprySOCKS。 它允许您收集有关系统的信息、启动远程管理命令界面(shell)、形成网络连接列表、部署基于 SOCKS 协议的代理服务器以在受感染系统和攻击者的命令服务器之间交换数据,以及执行其他操作。 指定恶意软件的版本表明它仍在开发中。
研究人员认为 SprySOCKS 是来自 Earth Lusca 组织的黑客所使用——它于 2021 年首次被发现,一年后出现在网络犯罪分子名单上。 该组织使用社会工程方法来感染系统。 SprySOCKS 安装 Cobalt Strike 和 Winnti 软件包作为有效负载。 第一个是用于查找和利用漏洞的工具包; 第二个已有十多年历史,与中国当局联系。 有一个版本称,主要针对亚洲目标的 Earth Lusca 组织旨在挪用资金,因为其受害者往往是赌博和加密货币公司。
另请阅读: