Araştırmacılar, Çin hükümetiyle bağlantılı bir tehdit aktörü tarafınca kullanılan, Linux için daha ilkin asla görülmemiş bir arka kapı keşfettiler.
Yeni arka kapı, ilk kez 2015 senesinde artık Netscout olarak malum Arbor Networks araştırmacıları tarafınca görülen Trochilus adlı bir Windows arka kapısından kaynaklanıyor. Trochilus’un yalnızca bellekte yürütüldüğünü ve çalıştırıldığını ve bir çok durumda son yükün hiçbir vakit disklerde görünmediğini söylediler. Bu da fena amaçlı yazılımın tespit edilmesini zorlaştırdı. Birleşik Krallık’taki NHS Digital’den araştırmacılar, Trochilus’un, Stone Panda ve MenuPass adlarıyla da anılan, Çin hükümetine bağlı gelişmiş bir kalıcı tehdit grubu olan APT10 tarafınca geliştirildiğini söylemiş oldu.
Sonunda öteki gruplar onu kullandı ve kaynak kodu altı yıldan fazla bir süredir GitHub’da mevcut. Trochilus’un, RedLeaves olarak malum ayrı bir fena amaçlı yazılım parçasının kullanıldığı kampanyalarda kullanıldığı görüldü.
Haziran ayında, Trend Micro güvenlik firmasından araştırmacılar, 2021’den beri izledikleri bir grup tarafınca kullanıldığı malum bir sunucuda şifrelenmiş bir ikili dosya buldu. Araştırmacılar, VirusTotal’da libmonitor.so.2 dosya adını arayarak, “mkmon” isminde yürütülebilir bir Linux dosyası. Bu yürütülebilir dosya, libmonitor.so.2 dosyasının şifresini çözmek ve orijinal yükünü kurtarmak için kullanılabilecek kimlik detayları içeriyordu; bu da araştırmacıların “mkmon”un libmonitor.so.2’yi teslim eden ve şifresini çözen bir kurulum dosyası olduğu sonucuna varmasına yol açtı.
Linux fena amaçlı yazılımı, Trochilus’ta bulunan çeşitli işlevleri taşıdı ve bu tarz şeyleri yeni bir Soket Güvenli (SOCKS) uygulamasıyla birleştirdi. Trend Micro araştırmacıları sonunda keşiflerine SprySOCKS adını verdi; “spry” ise süratli davranışını ve eklenen SOCKS bileşenini ifade ediyordu.
SprySOCKS, sistem bilgilerini toplamak, güvenliği ihlal edilmiş sistemleri denetlemek için etkileşimli bir uzak kabuk açmak, ağ bağlantılarını listelemek ve güvenliği ihlal edilmiş sistem ile saldırgan tarafınca denetim edilen içinde dosya ve öteki verileri yüklemek için SOCKS protokolüne dayalı bir proxy oluşturmak dahil olmak suretiyle olağan arka kapı kabiliyetlerini uygular. komut sunucusu. Aşağıdaki tabloda bazı kabiliyetler gösterilmektedir:
| Ileti Kimliği | Notlar |
|---|---|
| 0x09 | Makine bilgilerini alır |
| 0x0a | Etkileşimli kabuğu başlatır |
| 0x0b | Verileri etkileşimli kabuğa yazar |
| 0x0d | Etkileşimli kabuğu durdurur |
| 0x0e | Ağ bağlantılarını listeler (parametreler: “ip”, “port”, “commName”, “connectType”) |
| 0x0f | Paket gönderir (parametre: “hedef”) |
| 0x14, 0x19 | Başlatma paketini gönderir |
| 0x16 | Alan kişi kimliğini oluşturur ve ayarlar |
| 0x17 | Ağ bağlantılarını listeler (parametreler: “tcp_port”, “udp_port”, “http_port”, “listen_type”, “listen_port”) |
| 0x23 | SOCKS proxy’sini oluşturur |
| 0x24 | SOCKS proxy’sini sonlandırır |
| 0x25 | SOCKS proxy verilerini iletir |
| 0x2a | Dosya yükler (parametreler: “transfer_id”, “size”) |
| 0x2b | Dosya aktarım kimliğini alır |
| 0x2c | İndirilen dosya (parametreler: “state”, “transferId”, “packageId”, “packageCount”, “file_size”) |
| 0x2d | Aktarım durumunu alır (parametreler: “state”, “transferId”, “result”, “packageId”) |
| 0x3c | Kök dizinindeki dosyaları numaralandırır / |
| 0x3d | Dizindeki dosyaları numaralandırır |
| 0x3e | Dosyayı siler |
| 0x3f | Dizin oluşturur |
| 0x40 | Dosyayı tekrardan adlandırır |
| 0x41 | İşlem yok |
| 0x42 | 0x3c – 0x40 (srcPath, destPath) işlemleriyle ilgilidir |
İkili dosyanın şifresini çözüp SprySOCKS’u bulduktan sonrasında araştırmacılar, buldukları detayları ilgili dosyaları VirusTotal’da aramak için kullandılar. Aramaları fena amaçlı yazılımın 1.1 sürüm numaralı bir sürümünü ortaya çıkardı. Trend Micro’nun bulmuş olduğu sürüm 1.3.6 idi. Çoklu versiyonlar, arka kapının şu anda geliştirilme aşamasında bulunduğunu gösteriyor.
SprySOCKS’in bağlandığı komuta ve denetim sunucusu, RedLeaves olarak malum değişik bir Windows fena amaçlı yazılım parçasıyla bir kampanyada kullanılan sunucuyla büyük benzerlikler taşıyor. SprySOCKS benzer biçimde RedLeaves de Trochilus’u temel alıyordu. Hem Trochilus hem de RedLeaves’te görünen dizeler, SprySOCKS’a eklenen SOCKS bileşeninde de görünür. SOCKS kodu, Çin kökenli yüksek performanslı bir ağ çerçevesi olan HP-Socket’ten ödünç alınmıştır.
Trend Micro, SprySOCKS’ü Earth Lusca adını verdiği bir tehdit aktörüne atfediyor. Araştırmacılar grubu 2021 senesinde keşfettiler ve ertesi yıl belgelediler. Earth Lusca, başta Asya’daki hükümetler olmak suretiyle dünya çapındaki kuruluşları hedef alıyor. Hedefleri, fena amaçlı yazılımların bulaştığı su kuyusu sitelerine çekmek için toplumsal mühendislik kullanıyor. Casusluk faaliyetlerine ilgi göstermesinin yanı sıra, Earth Lusca, kumar ve kripto para şirketlerine odaklanmış, finansal açıdan da motive olmuş görünüyor.
SprySOCKS’u barındıran aynı Earth Lusca sunucusu hem de Cobalt Strike ve Winnti olarak malum yükleri de sağlamış oldu. Cobalt Strike, hem güvenlik profesyonelleri hem de tehdit oyuncuları tarafınca kullanılan bir hackleme aracıdır. Güvenlik açıklarını bulmak ve bunlardan yararlanmak için eksiksiz bir vasıta paketi sağlar. Earth Lusca, hedeflenen ortamda ilk tutunmayı sağladıktan sonrasında erişimini genişletmek için bunu kullanıyordu. Ayrıca Winnti, hem on yılı aşkın bir süredir kullanımda olan bir fena amaçlı yazılım paketinin adı, hem de tümü Çin hükümetinin haber alma aygıtıyla bağlantılı olan bir takım değişik tehdit grubunun tanımlayıcısıdır. dünyanın en üretken hacking sendikaları.
Pazartesi günkü Trend Micro raporu, insanların güvenliğinin ihlal edilip edilmediğini belirlemek için kullanabilecekleri IP adreslerini, dosya karmalarını ve öteki kanıtları sağlıyor.
Source: arstechnica.com