hacker_restored

SprySOCKS toma prestado el malware de código abierto de Windows y le añade nuevos trucos.

Los investigadores han descubierto una puerta trasera nunca antes vista para Linux que está siendo utilizada por un actor de amenazas vinculado al gobierno chino.

El nuevo backdoor se origina a partir de un backdoor de Windows llamado Trochilus, que fue visto por primera vez en 2015 por investigadores de Arbor Networks, ahora conocido como Netscout. Dijeron que Trochilus se ejecutaba y se ejecutaba solo en la memoria, y la carga útil final nunca aparecía en los discos en la mayoría de los casos. Esto dificultaba su detección. Investigadores de NHS Digital en el Reino Unido han afirmado que Trochilus fue desarrollado por APT10, un grupo de amenazas persistentes avanzadas vinculado al gobierno chino que también recibe los nombres de Stone Panda y MenuPass.

Otros grupos acabaron utilizándolo, y su código fuente ha estado disponible en GitHub durante más de seis años. Trochilus se ha visto utilizado en campañas que usaban un malware distinto conocido como RedLeaves.

En junio, investigadores de la empresa de seguridad Trend Micro encontraron un archivo binario cifrado en un servidor utilizado por un grupo al que seguían la pista desde 2021. Buscando en VirusTotal el nombre del archivo, libmonitor.so.2, los investigadores localizaron un archivo ejecutable de Linux llamado "mkmon". Este ejecutable contenía credenciales que podían utilizarse para descifrar el archivo libmonitor.so.2 y recuperar su carga útil original, lo que llevó a los investigadores a concluir que "mkmon" es un archivo de instalación que entregó y descifró libmonitor.so.2.

El malware para Linux portó varias funciones encontradas en Trochilus y las combinó con una nueva implementación de Socket Secure (SOCKS). Los investigadores de Trend Micro llamaron finalmente a su descubrimiento SprySOCKS, con "spry" denotando su rápido comportamiento y el componente SOCKS añadido.

SprySOCKS implementa las capacidades habituales de las puertas traseras, incluyendo la recopilación de información del sistema, la apertura de un shell remoto interactivo para controlar los sistemas comprometidos, el listado de conexiones de red y la creación de un proxy basado en el protocolo SOCKS para cargar archivos y otros datos entre el sistema comprometido y el servidor de comandos controlado por el atacante. La siguiente tabla muestra algunas de las capacidades:

MESSAGE IDNOTES
0x09 Gets machine information
0x0a Starts interactive shell
0x0b Writes data to interactive shell
0x0d Stops interactive shell
0x0e Lists network connections (parameters: “ip”, “port”, “commName”, “connectType”)
0x0f Sends packet (parameter: “target”)
0x14, 0x19 Sends initialization packet
0x16 Generates and sets clientid
0x17 Lists network connections (parameters: “tcp_port”, “udp_port”, “http_port”, “listen_type”, “listen_port”)
0x23 Creates SOCKS proxy
0x24 Terminates SOCKS proxy
0x25 Forwards SOCKS proxy data
0x2a Uploads file (parameters: “transfer_id”, “size”)
0x2b Gets file transfer ID
0x2c Downloads file (parameters: “state”, “transferId”, “packageId”, “packageCount”, “file_size”)
0x2d Gets transfer status (parameters: “state”, “transferId”, “result”, “packageId”)
0x3c Enumerates files in root /
0x3d Enumerates files in directory
0x3e Deletes file
0x3f Creates directory
0x40 Renames file
0x41 No operation
0x42 Is related to operations 0x3c – 0x40 (srcPath, destPath)

Tras descifrar el binario y encontrar SprySOCKS, los investigadores utilizaron la información encontrada para buscar archivos relacionados en VirusTotal. Su búsqueda dio como resultado una versión del malware con el número de versión 1.1. La versión encontrada por Trend Micro era la 1.3.6. Las múltiples versiones sugieren que la puerta trasera está actualmente en desarrollo.

El servidor de mando y control al que se conecta SprySOCKS presenta grandes similitudes con un servidor que se utilizó en una campaña con otro tipo de malware para Windows conocido como RedLeaves. Al igual que SprySOCKS, RedLeaves también se basaba en Trochilus. Las cadenas que aparecen tanto en Trochilus como en RedLeaves también aparecen en el componente SOCKS que se añadió a SprySOCKS. El código de SOCKS se tomó prestado de HP-Socket, un framework de red de alto rendimiento de origen chino.

Trend Micro atribuye SprySOCKS a un actor de amenazas que ha bautizado como Earth Lusca. Los investigadores descubrieron el grupo en 2021 y lo documentaron al año siguiente. Earth Lusca se dirige a organizaciones de todo el mundo, principalmente gobiernos asiáticos. Utiliza la ingeniería social para atraer a los objetivos a sitios donde se infectan con malware. Además de mostrar interés en actividades de espionaje, Earth Lusca parece tener motivaciones financieras, con la vista puesta en empresas de juegos de azar y criptomonedas.

El mismo servidor de Earth Lusca que alojaba SprySOCKS también distribuyó las cargas útiles conocidas como Cobalt Strike y Winnti. Cobalt Strike es una herramienta de hacking utilizada tanto por profesionales de la seguridad como por actores de amenazas. Proporciona un conjunto completo de herramientas para encontrar y explotar vulnerabilidades. Earth Lusca la utilizaba para ampliar su acceso después de conseguir un punto de apoyo inicial dentro de un entorno objetivo. Winnti, por su parte, es el nombre de un conjunto de programas maliciosos que lleva utilizándose más de una década, así como el identificador de una serie de grupos de amenazas distintos, todos ellos relacionados con el aparato de inteligencia del gobierno chino, uno de los grupos de piratas informáticos más prolíficos del mundo.
El informe de Trend Micro del lunes proporciona direcciones IP, hashes de archivos y otras pruebas que las personas pueden utilizar para determinar si se han visto comprometidas. Por lo general, Earth Lusca infecta los sistemas utilizando vulnerabilidades recientemente corregidas, a menudo denominadas n-days. La mejor defensa es la aplicación oportuna de parches. El informe del lunes no proporcionó detalles adicionales sobre la prevención o eliminación del malware.

 

Fuente: somoslibres

¿Quién está en línea?

Hay 1995 invitados y ningún miembro en línea