Сегодня 30 сентября 2023
18+
MWC 2018 2018 Computex IFA 2018
Новости Software

Китайские хакеры придумали невиданный прежде способ скрытой атаки на Linux-системы

Эксперты японской компании Trend Micro, которая специализируется на вопросах кибербезопасности, обнаружили вредоносную программу SprySOCKS, которая используется для атаки на машины под управлением систем семейства Linux.

 Источник изображения: Tumisu / pixabay.com

Источник изображения: Tumisu / pixabay.com

Новый вредонос происходит от Windows-бэкдора Trochilus, обнаруженного в 2015 году исследователями из компании Arbor Networks — он запускается и выполняется только в памяти, а его полезная нагрузка не сохраняется на дисках, что существенно затрудняет обнаружение. В июне этого года исследователи Trend Micro обнаружили на сервере файл с именем «libmonitor.so.2», использовавшийся группой, чью деятельность они отслеживали с 2021 года. В базе VirusTotal они обнаружили связанный с ним исполняемый файл «mkmon», который помог расшифровать «libmonitor.so.2» и раскрыть его полезную нагрузку.

Выяснилось, что это комплексная вредоносная программа под Linux, функциональность которой частично совпадает с возможностями Trochilus и обладает оригинальной реализацией протокола Socket Secure (SOCKS), поэтому вредоносу было присвоено название SprySOCKS. Он позволяет собирать информацию о системе, запускать командный интерфейс удалённого управления (shell), формировать список сетевых подключений, разворачивать прокси-сервер на основе протокола SOCKS для обмена данными между скомпрометированной системой и командным сервером злоумышленника, а также производить другие операции. Указание версий вредоноса позволяет предположить, что он до сих пор находится в разработке.

Исследователи предполагают, что SprySOCKS используют хакеры группировки Earth Lusca — впервые она была обнаружена в 2021 году, а в списке киберпреступников оказалась годом позже. Для заражения систем группировка использует методы социальной инженерии. В качестве полезной нагрузки SprySOCKS устанавливает пакеты Cobalt Strike и Winnti. Первый — это комплект для поиска и эксплуатации уязвимостей; второй, которому уже более десяти лет, — связывается с китайскими властями. Есть версия, что работающая преимущественно по азиатским целям группировка Earth Lusca нацелена на хищение денежных средств, потому что её жертвами часто оказываются компании, которые занимаются азартными играми и криптовалютами.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Ежедневная интернет-аудитория в России выросла в 100 раз за 25 лет 6 ч.
Valve лишила Apple Mac одной из популярнейших игр — CS:GO больше недоступна, а Counter-Strike 2 не запускается 9 ч.
Канцтовары + кибербезопасность: «Комус» в партнёрстве с «Информзащитой» открыла новое направление деятельности 9 ч.
Китайские хакеры тайно захватили роутеры Cisco в важнейших секторах США — ФБР и АНБ забили тревогу 9 ч.
Spotify добавит автоматические расшифровки текстов к миллионам подкастов 10 ч.
Новая статья: The Lamplighters League — мир спасут хулиганы. Рецензия 24 ч.
Без CUDA никуда? ИИ-стартап Lamini полагается исключительно на ускорители AMD Instinct 24 ч.
Rockstar взбудоражила фанатов скриншотом из GTA Online — на нём увидели тизер GTA VI 29-09 23:34
В Chrome и Firefox нашли опасную уязвимость нулевого дня, и ей уже пользуются хакеры 29-09 23:04
AMD выпустила FSR 3 с генерацией кадров — новый апскейлинг доступен в Forspoken и Immortals of Aveum 29-09 22:40