کارشناسان شرکت ژاپنی Trend Micro که متخصص مسائل امنیت سایبری است، برنامه مخرب SprySOCKS را کشف کردند که برای حمله به ماشینهایی که از خانواده سیستمهای لینوکس استفاده میکنند، استفاده میشود.
بدافزار جدید از Trochilus در پشتی ویندوز می آید، کشف شده در سال 2015 توسط محققان شرکت Arbor Networks، تنها در حافظه راه اندازی و اجرا می شود و بار آن روی دیسک ذخیره نمی شود که به طور قابل توجهی تشخیص را پیچیده می کند. در ژوئن سال جاری، محققان Trend Micro فایلی به نام "libmonitor.so.2" را در سروری که توسط گروهی که فعالیت آن را از سال 2021 رصد می کردند مورد استفاده قرار می دادند، کشف کردند. در پایگاه داده VirusTotal، آنها فایل اجرایی مرتبط "mkmon" را کشف کردند که به رمزگشایی "libmonitor.so.2" و آشکار کردن بار آن کمک کرد.
معلوم شد که این یک برنامه مخرب پیچیده برای لینوکس است که عملکرد آن تا حدی با قابلیت های Trochilus مطابقت دارد و دارای اجرای اصلی پروتکل Socket Secure (SOCKS) است، بنابراین نام SprySOCKS به بدافزار داده شد. این به شما امکان می دهد اطلاعات مربوط به سیستم را جمع آوری کنید، یک رابط فرمان مدیریت از راه دور (پوسته) راه اندازی کنید، لیستی از اتصالات شبکه را تشکیل دهید، یک سرور پروکسی بر اساس پروتکل SOCKS برای تبادل داده بین سیستم در معرض خطر و سرور فرمان مهاجم مستقر کنید و انجام عملیات های دیگر مشخص کردن نسخههای بدافزار نشان میدهد که هنوز در حال توسعه است.
محققان پیشنهاد می کنند که SprySOCKS توسط هکرهای گروه Earth Lusca استفاده می شود - اولین بار در سال 2021 کشف شد و یک سال بعد در لیست مجرمان سایبری ظاهر شد. این گروه از روش های مهندسی اجتماعی برای آلوده کردن سیستم ها استفاده می کند. SprySOCKS بسته های Cobalt Strike و Winnti را به عنوان محموله نصب می کند. اولین کیت برای یافتن و بهره برداری از آسیب پذیری ها است. دومی که بیش از ده سال از عمر آن می گذرد، با مقامات چینی تماس می گیرد. نسخه ای وجود دارد که گروه Earth Lusca، که عمدتاً با اهداف آسیایی کار می کند، قصد اختلاس وجوه را دارد، زیرا قربانیان آن اغلب شرکت هایی هستند که در قمار و ارزهای دیجیتال دخیل هستند.
همچنین بخوانید:
- Microsoft متهم به "بی توجهی آشکار" به امنیت سایبری شده است
- هکرها یکی از مدرن ترین رصدخانه های نجومی را از کار انداختند