En az 2021’den beri Asya, Latin Amerika ve diğer bölgelerdeki devlet kuruluşlarını aktif olarak hedef alan Çin bağlantılı bir siber casusluk aktörü olan “Earth Lusca”, daha önce bilinen birçok kötü amaçlı yazılım aracından ilham alan özelliklere sahip bir Linux arka kapısını kullanmaya başladı.
Trend Micro’daki araştırmacıların keşfettiği ve “SprySOCKS” olarak takip ettiği kötü amaçlı yazılım, öncelikle kodu 2017’de sızdırılan ve kamuya açık hale gelen bir Windows uzaktan erişim Truva Atı (RAT) olan “Trochilus”un Linux versiyonudur.
Windows Arka Kapısının Linux Varyantı
Trochilus’un, tehdit aktörlerinin dosyaları uzaktan yüklemesine ve kaldırmasına, tuş vuruşlarını günlüğe kaydetmesine, ekran görüntüleri almasına, dosya yönetimine ve kayıt defteri düzenlemesine izin verme gibi birden fazla işlevi vardır. Kötü amaçlı yazılımın temel özelliklerinden biri, yanal hareketi mümkün kılma yeteneğidir. Trend Micro’ya göre, SprySOCKS’un ana yürütme rutini ve dizeleri, onun Trochilus’tan kaynaklandığını ve birçok işlevinin Linux sistemleri için yeniden uygulandığını gösteriyor.
Buna ek olarak, SprySOCKS’un etkileşimli kabuğunun Earth Lusca uygulaması, gelişmiş kalıcı tehdit aktörlerinin 2008’den bu yana kullandığı, sürekli gelişen bir RAT ailesi olan Derusbi’nin Linux sürümünden ilham aldığını gösteriyor. Ayrıca SprySOCKS’un komuta ve kontrolü ( Trend Micro, C2) altyapısının, RedLeaves adı verilen ikinci aşama RAT ile ilişkili tehdit aktörlerinin beş yıldan uzun süredir siber casusluk kampanyalarında kullandığı altyapıya benzediğini söyledi.
Kendi türündeki diğer kötü amaçlı yazılımlar gibi SprySOCKS de sistem bilgilerini toplamak, etkileşimli bir kabuk başlatmak, ağ bağlantılarını listelemek ve dosyaları yüklemek ve dışarı çıkarmak dahil olmak üzere birçok işlevi bünyesinde barındırır.
Yakalanması Zor Tehdit Aktörü
Earth Lusca, Trend Micro’nun 2021 ortasından bu yana gözlemlediği, Güneydoğu Asya’daki ve son zamanlarda Orta Asya, Balkanlar, Latin Amerika ve Afrika’daki kuruluşları hedef alan, bulunması zor bir tehdit aktörüdür. Kanıtlar, grubun Çin’in ekonomik hedefleri adına veya onları desteklemek için çalıştığına inanılan gevşek bir siber casusluk grupları kümesi olan Winnti’nin bir parçası olduğunu gösteriyor.
Earth Lusca’nın hedefleri arasında hükümet ve eğitim kurumları, demokrasi yanlısı ve insan hakları grupları, dini gruplar, medya kuruluşları ve COVID-19 araştırması yürüten kuruluşlar yer alıyor. Özellikle dış ilişkiler, telekomünikasyon ve teknolojiyle ilgilenen devlet kurumlarıyla ilgilenmektedir. Aynı zamanda, Trend Micro, Earth Lusca’nın saldırılarının çoğunun siber casuslukla ilgili gibi görünse de, zaman zaman düşmanın kripto para birimi ve kumar şirketlerinin de peşine düştüğünü ve bunun da finansal amaçlı olduğunu öne sürdüğünü söyledi.
Tehdit aktörü, saldırılarının çoğunda, hedef ağda yer edinmeye çalışmak için hedef odaklı kimlik avı, yaygın sosyal mühendislik dolandırıcılıkları ve sulama deliği saldırılarını kullandı. Bu yılın başından bu yana Earth Lusca aktörleri, kurban ağlarına sızmak için Web’e yönelik uygulamalardaki sözde “n-gün” güvenlik açıklarını agresif bir şekilde hedef alıyor. N günlük güvenlik açığı, bir satıcının zaten açıkladığı ancak şu anda herhangi bir yama bulunmayan bir kusurdur. Trend Micro, “Son zamanlarda tehdit aktörü, bilinen güvenlik açıklarından yararlanarak kurbanlarının halka açık sunucularını hedefleme konusunda oldukça agresif davrandı” dedi.
Earth Lusca’nın bu yıl istismar ettiği gözlemlenen bu tür birçok kusur arasında, Fortinet’in FortiOS ve diğer teknolojilerindeki bir kimlik doğrulama atlama güvenlik açığı olan CVE-2022-40684; CVE-2022-39952, Fortinet FortiNAC’ta bir uzaktan kod yürütme (RCE) hatası; ve ASP.NET AJAX için bir RCE in Progress Telerik kullanıcı arayüzü olan CVE-2019-18935. Diğer tehdit aktörleri de bu hatalardan yararlandı. Örneğin CVE-2022-40684, muhtemelen Çin destekli bir tehdit aktörünün, hükümet, imalat, iletişim ve kamu hizmetleri de dahil olmak üzere çok sayıda kritik sektördeki kuruluşları hedef alan “Volt Typhoon” adlı yaygın bir siber casusluk kampanyasında kullandığı bir kusurdur.
Trend Micro raporunda, “Earth Lusca, kurbanının ağlarına sızmak için sunucudaki güvenlik açıklarından yararlanıyor, ardından bir web kabuğu dağıtacak ve yanal hareket için Cobalt Strike’ı kuracak” dedi. “Grup, hedeflerine karşı uzun vadeli casusluk faaliyetleri yürütmek için belgeleri ve e-posta hesabı kimlik bilgilerini sızdırmanın yanı sıra ShadowPad ve Winnti’nin Linux sürümü gibi gelişmiş arka kapıları daha da dağıtmayı planlıyor.”