Китайская хакерская группировка Earth Lusca была замечена в атаках на правительственные учреждения в нескольких странах мира. В этой кампании использовался новый Linux-бэкдор SprySOCKS, который изучили специалисты Trend Micro.
По данным исследователей, новый вредонос являет производной от Windows-бэкдора под названием Trochilus, который впервые был замечен в 2015 году исследователями из Arbor Networks (ныне Netscout). Тогда отмечалось, что Trochilus разработан китайской группой APT10 (она же Stone Panda и MenuPass), выполняется и запускается только в памяти, а окончательная полезная нагрузка в большинстве случаев вообще не появляется на дисках, что затрудняло обнаружение малвари.
В конечном итоге эту малварь использовали и другие хак-группы, а ее исходный код доступен на GitHub уже более шести лет.
При этом отмечается, что SprySOCKS выглядит как смесь из нескольких вредоносных программ, поскольку протокол связи с управляющим сервером здесь аналогичен Windows-малвари RedLeaves, а реализация интерактивного шелла, похоже, заимствована из Linux-бэкдора Derusbi.
Trend Micro сообщает, что Earth Lusca была активна в первом полугодии 2023 года, атакуя различные госструктуры, занимающиеся вопросами внешней политики, технологий и телекоммуникаций в странах Юго-Восточной Азии, Центральной Азии, на Балканах и по всему миру. Основной целью хакеров, судя по всему, был шпионаж.
В атаках группировка пыталась эксплуатировать ряд n-day уязвимостей удаленного выполнения кода без аутентификации (перечислены ниже), датированных 2019-2022 годами и затрагивающих эндпоинты, доступные через интернет.
Эти баги использовались для доставки в системы жертв маяков Cobalt Strike, которые позволяли злоумышленникам получить удаленный доступ к взломанной сети. Затем этот доступ использовался для бокового перемещения по сети, хищения файлов, кражи учетных данных и развертывания дополнительные полезных нагрузок, например, ShadowPad.
Также хакеры применяли маяки Cobalt Strike для доставки загрузчика SprySOCKS — варианта ELF-инжектора под названием mandibule, который проникает на целевые машины в виде файла с именем libmonitor.so.2. По словам исследователей, злоумышленники адаптировали mandibule для своих нужд, но торопились, оставив после себя отладочные сообщения и символы.
Загрузчик запускается под именем kworker/0:22, чтобы избежать обнаружения, расшифровывает полезную нагрузку второго этапа (SprySOCKS) и закрепляется на зараженной машине.
Для работы SprySOCKS использует высокопроизводительный фреймворк HP-Socket, а его TCP-коммуникации с управляющим сервером шифруются по алгоритму AES-ECB.
Основные возможности бэкдора включают:
- сбор системной информации (данные об ОС, памяти, IP-адресе, имени группы, языке и процессоре);
- запуск интерактивного шелла, использующего подсистему PTY;
- просмотр списка сетевых подключений;
- управление настройками SOCKS-прокси;
- выполнение базовых файловых операций (загрузка, скачивание, листинг, удаление, переименование и создание каталогов).
Кроме того, малварь генерирует ID клиента (номер жертвы), используя MAC-адреса сетевых интерфейсов и характеристики процессора, а затем преобразует его в 28-байтовую шестнадцатеричную строку.
Исследователи обнаружили две версии SprySOCKS (1.1 и 1.3.6), что, по их мнению, свидетельствует об активной разработке малвари.