იაპონური კომპანიის Trend Micro-ს ექსპერტებმა, რომელიც სპეციალიზირებულია კიბერუსაფრთხოების საკითხებში, აღმოაჩინეს მავნე პროგრამა SprySOCKS, რომელიც გამოიყენება Linux-ის ოჯახის სისტემების მქონე მანქანებზე თავდასხმისთვის.
ახალი მავნე პროგრამა მოდის Windows Backdoor Trochilus-დან, აღმოაჩინა 2015 წელს კომპანია Arbor Networks-ის მკვლევარების მიერ ის გაშვებულია და შესრულებულია მხოლოდ მეხსიერებაში და მისი დატვირთვა არ ინახება დისკებზე, რაც მნიშვნელოვნად ართულებს გამოვლენას. მიმდინარე წლის ივნისში, Trend Micro-ს მკვლევარებმა აღმოაჩინეს ფაილი სახელწოდებით „libmonitor.so.2“ სერვერზე, რომელსაც იყენებდა ჯგუფი, რომლის საქმიანობასაც ისინი აკვირდებოდნენ 2021 წლიდან. VirusTotal მონაცემთა ბაზაში მათ აღმოაჩინეს ასოცირებული შესრულებადი ფაილი "mkmon", რომელიც დაეხმარა "libmonitor.so.2"-ის გაშიფვრასა და მისი დატვირთვის გამოვლენას.
აღმოჩნდა, რომ ეს არის რთული მავნე პროგრამა Linux-ისთვის, რომლის ფუნქციონირება ნაწილობრივ ემთხვევა Trochilus-ის შესაძლებლობებს და აქვს Socket Secure (SOCKS) პროტოკოლის ორიგინალური იმპლემენტაცია, ამიტომ მავნე პროგრამას მიენიჭა სახელი SprySOCKS. ის საშუალებას გაძლევთ შეაგროვოთ ინფორმაცია სისტემის შესახებ, გაუშვათ დისტანციური მართვის ბრძანების ინტერფეისი (ჭურვი), ჩამოაყალიბოთ ქსელური კავშირების სია, განათავსოთ პროქსი სერვერი SOCKS პროტოკოლზე დაფუძნებული მონაცემების გასაცვლელად დაზიანებულ სისტემასა და თავდამსხმელის ბრძანების სერვერს შორის და სხვა ოპერაციების შესრულება. მავნე პროგრამის ვერსიების დაზუსტება ვარაუდობს, რომ ის ჯერ კიდევ დამუშავების პროცესშია.
მკვლევარები ვარაუდობენ, რომ SprySOCKS-ს იყენებენ Earth Lusca ჯგუფის ჰაკერები - ის პირველად 2021 წელს აღმოაჩინეს და ერთი წლის შემდეგ კიბერკრიმინალთა სიაში გამოჩნდა. ჯგუფი იყენებს სოციალური ინჟინერიის მეთოდებს სისტემების დასაინფიცირებლად. SprySOCKS აინსტალირებს Cobalt Strike და Winnti პაკეტებს, როგორც დატვირთვას. პირველი არის მოწყვლადობის პოვნისა და გამოყენების ნაკრები; მეორე, რომელიც ათ წელზე მეტია, ჩინეთის ხელისუფლებას დაუკავშირდა. არსებობს ვერსია, რომ Earth Lusca ჯგუფი, რომელიც ძირითადად აზიურ სამიზნეებთან მუშაობს, მიზნად ისახავს თანხების გაფლანგვას, რადგან მისი მსხვერპლი ხშირად აზარტული თამაშებითა და კრიპტოვალუტებით დაკავებული კომპანიები არიან.
ასევე წაიკითხეთ:
- Microsoft კიბერუსაფრთხოების „უხეში უგულებელყოფაში“ დაადანაშაულეს
- ჰაკერებმა გააუქმეს ერთ-ერთი ყველაზე თანამედროვე ასტრონომიული ობსერვატორია