SprySOCKS toma prestado el malware de código abierto de Windows y le añade nuevos trucos.
Los investigadores han descubierto una puerta trasera nunca antes vista para Linux que está siendo utilizada por un actor de amenazas vinculado al gobierno chino.
El nuevo backdoor se origina a partir de un backdoor de Windows llamado Trochilus, que fue visto por primera vez en 2015 por investigadores de Arbor Networks, ahora conocido como Netscout. Dijeron que Trochilus se ejecutaba y se ejecutaba solo en la memoria, y la carga útil final nunca aparecía en los discos en la mayoría de los casos. Esto dificultaba su detección. Investigadores de NHS Digital en el Reino Unido han afirmado que Trochilus fue desarrollado por APT10, un grupo de amenazas persistentes avanzadas vinculado al gobierno chino que también recibe los nombres de Stone Panda y MenuPass.
Otros grupos acabaron utilizándolo, y su código fuente ha estado disponible en GitHub durante más de seis años. Trochilus se ha visto utilizado en campañas que usaban un malware distinto conocido como RedLeaves.
En junio, investigadores de la empresa de seguridad Trend Micro encontraron un archivo binario cifrado en un servidor utilizado por un grupo al que seguían la pista desde 2021. Buscando en VirusTotal el nombre del archivo, libmonitor.so.2, los investigadores localizaron un archivo ejecutable de Linux llamado "mkmon". Este ejecutable contenía credenciales que podían utilizarse para descifrar el archivo libmonitor.so.2 y recuperar su carga útil original, lo que llevó a los investigadores a concluir que "mkmon" es un archivo de instalación que entregó y descifró libmonitor.so.2.
El malware para Linux portó varias funciones encontradas en Trochilus y las combinó con una nueva implementación de Socket Secure (SOCKS). Los investigadores de Trend Micro llamaron finalmente a su descubrimiento SprySOCKS, con "spry" denotando su rápido comportamiento y el componente SOCKS añadido.
SprySOCKS implementa las capacidades habituales de las puertas traseras, incluyendo la recopilación de información del sistema, la apertura de un shell remoto interactivo para controlar los sistemas comprometidos, el listado de conexiones de red y la creación de un proxy basado en el protocolo SOCKS para cargar archivos y otros datos entre el sistema comprometido y el servidor de comandos controlado por el atacante. La siguiente tabla muestra algunas de las capacidades:
| MESSAGE ID | NOTES |
|---|---|
| 0x09 | Gets machine information |
| 0x0a | Starts interactive shell |
| 0x0b | Writes data to interactive shell |
| 0x0d | Stops interactive shell |
| 0x0e | Lists network connections (parameters: “ip”, “port”, “commName”, “connectType”) |
| 0x0f | Sends packet (parameter: “target”) |
| 0x14, 0x19 | Sends initialization packet |
| 0x16 | Generates and sets clientid |
| 0x17 | Lists network connections (parameters: “tcp_port”, “udp_port”, “http_port”, “listen_type”, “listen_port”) |
| 0x23 | Creates SOCKS proxy |
| 0x24 | Terminates SOCKS proxy |
| 0x25 | Forwards SOCKS proxy data |
| 0x2a | Uploads file (parameters: “transfer_id”, “size”) |
| 0x2b | Gets file transfer ID |
| 0x2c | Downloads file (parameters: “state”, “transferId”, “packageId”, “packageCount”, “file_size”) |
| 0x2d | Gets transfer status (parameters: “state”, “transferId”, “result”, “packageId”) |
| 0x3c | Enumerates files in root / |
| 0x3d | Enumerates files in directory |
| 0x3e | Deletes file |
| 0x3f | Creates directory |
| 0x40 | Renames file |
| 0x41 | No operation |
| 0x42 | Is related to operations 0x3c – 0x40 (srcPath, destPath) |
Tras descifrar el binario y encontrar SprySOCKS, los investigadores utilizaron la información encontrada para buscar archivos relacionados en VirusTotal. Su búsqueda dio como resultado una versión del malware con el número de versión 1.1. La versión encontrada por Trend Micro era la 1.3.6. Las múltiples versiones sugieren que la puerta trasera está actualmente en desarrollo.
El servidor de mando y control al que se conecta SprySOCKS presenta grandes similitudes con un servidor que se utilizó en una campaña con otro tipo de malware para Windows conocido como RedLeaves. Al igual que SprySOCKS, RedLeaves también se basaba en Trochilus. Las cadenas que aparecen tanto en Trochilus como en RedLeaves también aparecen en el componente SOCKS que se añadió a SprySOCKS. El código de SOCKS se tomó prestado de HP-Socket, un framework de red de alto rendimiento de origen chino.
Trend Micro atribuye SprySOCKS a un actor de amenazas que ha bautizado como Earth Lusca. Los investigadores descubrieron el grupo en 2021 y lo documentaron al año siguiente. Earth Lusca se dirige a organizaciones de todo el mundo, principalmente gobiernos asiáticos. Utiliza la ingeniería social para atraer a los objetivos a sitios donde se infectan con malware. Además de mostrar interés en actividades de espionaje, Earth Lusca parece tener motivaciones financieras, con la vista puesta en empresas de juegos de azar y criptomonedas.
El mismo servidor de Earth Lusca que alojaba SprySOCKS también distribuyó las cargas útiles conocidas como Cobalt Strike y Winnti. Cobalt Strike es una herramienta de hacking utilizada tanto por profesionales de la seguridad como por actores de amenazas. Proporciona un conjunto completo de herramientas para encontrar y explotar vulnerabilidades. Earth Lusca la utilizaba para ampliar su acceso después de conseguir un punto de apoyo inicial dentro de un entorno objetivo. Winnti, por su parte, es el nombre de un conjunto de programas maliciosos que lleva utilizándose más de una década, así como el identificador de una serie de grupos de amenazas distintos, todos ellos relacionados con el aparato de inteligencia del gobierno chino, uno de los grupos de piratas informáticos más prolíficos del mundo.
El informe de Trend Micro del lunes proporciona direcciones IP, hashes de archivos y otras pruebas que las personas pueden utilizar para determinar si se han visto comprometidas. Por lo general, Earth Lusca infecta los sistemas utilizando vulnerabilidades recientemente corregidas, a menudo denominadas n-days. La mejor defensa es la aplicación oportuna de parches. El informe del lunes no proporcionó detalles adicionales sobre la prevención o eliminación del malware.
Fuente: somoslibres
