محققان امنیت سایبری یک بدافزار جدید کشف کردهاند که گروههای هکری از ن برای جاسوسی از کاربران لینوکس استفاده میکنند.
به گزارش افتانا، بدافزار جدید لینوکس با نام SprySOCKS در حملات جاسوسی سایبری استفاده میشود. در اوایل سال 2021، مقالهای تحقیقی منتشر شد که در آن به بررسی عملکرد یک عامل تهدید به نام «Earth Lusca» پرداخته شد. از زمان انتشار تحقیق اولیه، این گروه فعالیت خود را ادامه داده و حتی در نیمه اول سال 2023 عملیاتهای خود را گسترش داده و به کشورهای مختلف در سراسر جهان حمله کرده است.
یک گروه محقق در حین نظارت بر این گروه، موفق به بهدست آوردن یک فایل رمزگذاری شده جالب از سرور تهدیدکننده شد و توانست بارگذار اصلی این فایل را در VirusTotal پیدا کرده و با موفقیت آن را رمزگشایی کنند. جالب اینجاست که پس از رمزگشایی، این گروه متوجه شدند که این بارگذار یک درپشتی جدید برای سیستمهای لینوکس است که تا آن زمان دیده نشده بود. این درب پشتی جدید به نام «SprySOCKS» نامگذاری شده است، که به سرعت و توانایی اجرایی Trochilusو پیادهسازی جدید امنیتی SOCKS اشاره دارد.
تحلیل درپشتی SprySOCKS نشان میدهد که این درپشتی دارای ویژگیهای جالبی است. این درپشتی حاوی نشانگری است که به شماره نسخه آن اشاره دارد. دو نسخه مختلف از درپشتی SprySOCKS با دو شماره نسخه متفاوت شناسایی شده، که نشان میدهد که این درپشتی همچنان در دست توسعه است. علاوه بر این، پروتکل (C&C) SprySOCKS شبیه به پروتکلی است که توسط درپشتی RedLeaves که یک تروجان دسترسی از راه دور (RAT) برای سیستمهای ویندوز است، استفاده میشود. این پروتکل شامل دو مؤلفه، بارگذار و بارگذاری کردن بستههای اصلی رمزگذاری شده است. بارگذار مسئولیت خواندن، رمزگشایی و اجرای بستههای اصلی را دارد.
در نیمه اول سال 2023، Earth Lusca فعالیت خود را ادامه داد و حملات آن بهطور اساسی روی کشورهای جنوب شرق آسیا، آسیای مرکزی و کشورهای بالکان تمرکز داشت (با چندین حمله گسترده به کشورهای لاتین و آفریقایی). اهداف اصلی این گروه ادارات دولتی هستند که در امور خارجی، فناوری و ارتباطات فعالیت دارند.
Earth Lusca در حال حاضر بهطور فزایندهای به سرورهای عمومی حمله میکند. علاوه بر این، ما دیدهایم که آنها بهطور مکرر آسیبپذیریهای N-day مبتنی بر سرور را بهرهبری میکنند، از جمله (اما نه محدود به) آسیبپذیریهای زیر:
• CVE-2022-40684: یک آسیبپذیری دور زدن احراز هویت در Fortinet FortiOS، FortiProxy و FortiSwitchManager
• CVE-2022-39952: یک آسیبپذیری اجرای کد از راه دور بدون نیاز به احراز هویت (RCE) در Fortinet FortiNAC
• CVE-2021-22205: یک آسیبپذیری اجرای کد از راه دور بدون احراز هویت (RCE) در GitLab CE/EE
• CVE-2019-18935: یک آسیبپذیری اجرای کد از راه دور بدون احراز هویت در Progress Telerik UI for ASP.NET AJAX
• CVE-2019-9670 / CVE-2019-9621: یک دسته از دو آسیبپذیری برای اجرای کد از راه دور بدون احراز هویت در Zimbra Collaboration Suite
• ProxyShell (CVE-2021-34473، CVE-2021-34523v، CVE-2021-31207): یک مجموعه از سه آسیبپذیری متصل که اجرای کد از راه دور بدون احراز هویت در Microsoft Exchange را انجام میدهند.
Earth Lusca از آسیبپذیریهای سرور برای نفوذ به شبکههای قربانیان خود بهره میگیرد، پس از آن یک پوسته وب (web shell) را نصب کرده و Cobalt Strike را برای جابجایی جانبی استفاده میکند. اسناد و اطلاعات از حسابهای ایمیل را جابجا میکند، همچنین به نصب دادههای پشتیبان پیشرفته مانند ShadowPad و نسخه لینوکسی Winnti برای انجام فعالیتهای جاسوسی بلندمدت علیه اهداف خود میپردازد.
توصیههای امنیتی
1. بهروزرسانی سیستمها و نرمافزارها: اطمینان حاصل کنید که تمام سیستمها، نرمافزارها و ابزارهای خود بهروزرسانی شده و با آخرین تصحیحات امنیتی مجهز باشند. بهخصوص، توجه داشته باشید که به روزرسانیهای امنیتی مهمی را که توسط تأمین کنندگان نرمافزار ارائه میشوند، اعمال کنید.
2. مدیریت آسیبپذیریها: اسکن دورهای آسیبپذیریهای سیستمها و شبکهها را انجام دهید و آسیبپذیریهای شناخته شده را بهسرعت رفع کنید. SprySOCKS از آسیبپذیریها برای حملات خود استفاده میکند.
3. پشتیبانی از دادهها: ایجاد نسخهپشتیبان منظم از دادههای مهم و اطلاعات حیاتی در مواجهه با احتمال حملات و بهرهبرداریهای ناخواسته به کمک میآید.