Son raporlar, tehdit aktörlerinin daha önce hiç görülmemiş yeni bir tür Linux hedefli arka kapı kullandığını gösteriyor. Bu yeni arka kapıya Trochilus (Windows arka kapısı) ve yeni Socket Secure (SOCKS) dizelerini kullanan SprySOCKS adı verildi.
Ancak bu tehdit vektörü Earth Lusca tehdit grubu tarafından yürütülüyor. Çin bağlantılı bu saldırı grubu, Latin Amerika ve Afrika ülkeleri de dahil olmak üzere pek çok ülkede dış ilişkiler, teknoloji ve telekomünikasyondan sorumlu çeşitli hükümet departmanlarını hedef aldı.
Bu tehdit grubunun artık kurbanlarının halka açık sunucularını hedef aldığı ve operasyonlarının bir parçası olarak sunucu tabanlı N günlük güvenlik açıklarından yararlandığı ortaya çıktı.
Yeni Linux Kötü Amaçlı Yazılımı
Yeni arka kapıyı daha ayrıntılı analiz ettiğimizde, bulunan şifreli dosyanın, etkileşimli bir Linux kabuğu uygulayan Derusbi kötü amaçlı yazılımının bazı etkinliklerini de içerdiği keşfedildi.
Protokolün komuta ve kontrol yapısının, bir uzaktan erişim truva atı (RAT) olan RedLeaves arka kapısından ilham aldığı anlaşıldı. Ayrıca, farklı sürüm numaralarından oluşan iki farklı verinin tespit edilmesi, kötü amaçlı yazılımın halen geliştirilme aşamasında olduğunu gösteriyor.
Cyber Security News ile paylaşılan bir rapora göre Earth Lusca, kurbanın ağına sızmak ve bir web kabuğu dağıtmak için sunucudaki güvenlik açıklarını kullanıyor. Ağa girdikten sonra yanal hareket için bir Kobalt Saldırısı kurarlar.
Ayrıca tehdit grubu, etkilenen sistemlere kalıcı erişim sağlamak amacıyla ShadowPad ve Winnti (Linux sürümü) gibi gelişmiş arka kapıları daha da dağıtmak amacıyla belgeleri ve e-posta hesabı kimlik bilgilerini çalıyor.
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Earth Lusca’nın yararlandığı güvenlik açıkları
Earth Lusca, kimlik doğrulama atlama (CVE-2022-40684) ve uzaktan kod yürütme (CVE-2022-39952, CVE-2021-22205, CVE-2019-18935, CVE-2019-9670 ve CVE) ile ilgili çeşitli kritik ve yüksek güvenlik açıklarından yararlanır -2019-9621).
Ek olarak, uzaktan kod yürütme gerçekleştirmek için zincirleme üç güvenlik açığından oluşan bir grup bir araya getirilebilir. Ancak bu güvenlik açıklarından etkilenen ürünler arasında Fortinet (FortiOS, FortiNAC, FortiProxy ve FortiSwitchManager), Zimbra Collaboration Suite, ASP.NET AJAX, GitLab ve Microsoft Exchange yer alıyor.
Trend Micro, yararlanma yöntemleri, yük bileşenleri ve İlişkilendirme hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınladı.
Uzlaşma Göstergeleri
Modifiye Mandibule Yükleyici
65B27E84D9F22B41949E42E8C0B1E4B88C75211CBF94D5FD66EDC4EBE21B7359
Şifrelenmiş SprySOCKS verisi (libmonitor.so.2)
6F84B54C81D29CB6FF52CE66426B180AD0A3B907E2EF1117A30E95F2DC9959FC
SprySOCKS (Şifresi Çözülmüş)
F8BA9179D8F34E2643EE4F8BC51C8AF046E3762508A005A2D961154F639B2912
EEBD75AE0CB2B52B71890F84E92405AC30407C7A3FE37334C272FD2AB03DFF58
Teslimat Sunucusu
207[.]148.75.122
SprySOCKS C&C sunucusu
lt76ux.confenos.shop
2e6veme8xs.bmssystemg188.us
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.