Des pirates chinois ont créé une porte dérobée Linux inédite
-
SprySOCKS s’inspire des logiciels malveillants Windows open source et ajoute de nouvelles astuces.
Des chercheurs ont découvert une porte dérobée inédite pour Linux, utilisée par un acteur malveillant lié au gouvernement chinois.
La nouvelle backdoor provient d’une porte dérobée Windows nommée Trochilus, qui a été vue pour la première fois en 2015 par des chercheurs d’Arbor Networks, désormais connu sous le nom de Netscout. Ils ont déclaré que Trochilus s’exécutait et s’exécutait uniquement en mémoire et que la charge utile finale n’apparaissait jamais sur les disques dans la plupart des cas. Cela rendait le malware difficile à détecter. Des chercheurs du NHS Digital au Royaume-Uni ont déclaré que Trochilus avait été développé par APT10, un groupe de menaces persistantes avancées lié au gouvernement chinois qui porte également les noms de Stone Panda et MenuPass.
D’autres groupes l’ont finalement utilisé et son code source est disponible sur GitHub depuis plus de six ans. Trochilus a été utilisé dans des campagnes utilisant un logiciel malveillant distinct appelé RedLeaves.
En juin, des chercheurs de la société de sécurité Trend Micro ont trouvé un fichier binaire crypté sur un serveur connu pour être utilisé par un groupe qu’ils suivaient depuis 2021. En recherchant dans VirusTotal le nom du fichier, libmonitor.so.2, les chercheurs ont trouvé un exécutable. Fichier Linux nommé « mkmon ». Cet exécutable contenait des informations d’identification qui pourraient être utilisées pour décrypter le fichier libmonitor.so.2 et récupérer sa charge utile d’origine, ce qui a conduit les chercheurs à conclure que « mkmon » est un fichier d’installation qui a livré et décrypté libmonitor.so.2.
Le malware Linux a porté plusieurs fonctions trouvées dans Trochilus et les a combinées avec une nouvelle implémentation Socket Secure (SOCKS). Les chercheurs de Trend Micro ont finalement nommé leur découverte SprySOCKS, « spry » désignant son comportement rapide et le composant SOCKS ajouté.
SprySOCKS implémente les fonctionnalités habituelles de porte dérobée, notamment la collecte d’informations sur le système, l’ouverture d’un shell distant interactif pour contrôler les systèmes compromis, la liste des connexions réseau et la création d’un proxy basé sur le protocole SOCKS pour télécharger des fichiers et d’autres données entre le système compromis et le système contrôlé par l’attaquant. serveur de commande. Le tableau suivant présente certaines des fonctionnalités :
Après avoir déchiffré le binaire et trouvé SprySOCKS, les chercheurs ont utilisé les informations trouvées pour rechercher dans VirusTotal les fichiers associés. Leur recherche a révélé une version du malware portant le numéro de version 1.1. La version trouvée par Trend Micro était 1.3.6. Les multiples versions suggèrent que la porte dérobée est actuellement en cours de développement.
Le serveur de commande et de contrôle auquel SprySOCKS se connecte présente des similitudes majeures avec un serveur utilisé dans une campagne avec un autre malware Windows connu sous le nom de RedLeaves. Comme SprySOCKS, RedLeaves était également basé sur Trochilus. Les chaînes qui apparaissent à la fois dans Trochilus et RedLeaves apparaissent également dans le composant SOCKS ajouté à SprySOCKS. Le code SOCKS a été emprunté au HP-Socket , un framework réseau hautes performances d’origine chinoise.
Trend Micro attribue SprySOCKS à un acteur menaçant qu’il a surnommé Earth Lusca. Les chercheurs ont découvert le groupe en 2021 et l’ ont documenté l’année suivante. Earth Lusca cible les organisations du monde entier, principalement les gouvernements d’Asie. Il utilise l’ingénierie sociale pour attirer les cibles vers des sites où les cibles sont infectées par des logiciels malveillants. En plus de s’intéresser aux activités d’espionnage, Earth Lusca semble motivé par des considérations financières et vise les sociétés de jeux de hasard et de crypto-monnaie.
Le même serveur Earth Lusca qui hébergeait SprySOCKS a également fourni les charges utiles connues sous le nom de Cobalt Strike et Winnti. Cobalt Strike est un outil de piratage utilisé aussi bien par les professionnels de la sécurité que par les acteurs malveillants. Il fournit une suite complète d’outils pour rechercher et exploiter les vulnérabilités. Earth Lusca l’utilisait pour étendre son accès après avoir fait un premier pas dans un environnement ciblé. Winnti, quant à lui, est le nom à la fois d’une suite de logiciels malveillants utilisée depuis plus d’une décennie et de l’identifiant d’une multitude de groupes de menaces distincts, tous connectés à l’appareil de renseignement du gouvernement chinois, qui compte parmi les plus importants au monde. les syndicats de hackers les plus prolifiques .
Le rapport Trend Micro de lundi fournit des adresses IP, des hachages de fichiers et d’autres preuves que les utilisateurs peuvent utiliser pour déterminer s’ils ont été compromis.
