Çin bağlantılı tehdit aktörü olarak bilinen Dünya Luska SprySOCKS adı verilen daha önce görülmemiş bir Linux arka kapısını kullanarak devlet kurumlarını hedef aldığı gözlemlendi.
Earth Lusca, Trend Micro tarafından ilk olarak Ocak 2022’de belgelendi ve düşmanın Asya, Avustralya, Avrupa ve Kuzey Amerika’daki kamu ve özel sektör kuruluşlarına yönelik saldırılarının ayrıntıları verildi.
2021’den bu yana aktif olan grup, siber casusluk planlarını gerçekleştirmek için hedef odaklı kimlik avı ve sulama deliği saldırılarından yararlanıyor. Grubun bazı faaliyetleri, Recorded Future tarafından RedHotel adı altında takip edilen başka bir tehdit kümesiyle örtüşüyor.
Siber güvenlik firmasından elde edilen son bulgular, Earth Lusca’nın aktif bir grup olmaya devam ettiğini, hatta 2023’ün ilk yarısında operasyonlarını dünya çapındaki kuruluşları hedef alacak şekilde genişlettiğini gösteriyor.
Birincil hedefler arasında dış ilişkiler, teknoloji ve telekomünikasyonla ilgilenen devlet daireleri yer alır. Saldırılar Güneydoğu Asya, Orta Asya ve Balkanlarda yoğunlaşıyor.
Bulaşma dizileri, halka açık Fortinet (CVE-2022-39952 ve CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik Kullanıcı Arayüzü (CVE) üzerindeki bilinen güvenlik açıklarının kullanılmasıyla başlar. -2019-18935) ve Zimbra (CVE-2019-9621 ve CVE-2019-9670) sunucuları ağ mermilerini düşürüyor ve yanal hareket için Kobalt Saldırısı sağlıyor.
Güvenlik araştırmacıları Joseph C. Chen ve Jaromir Horejsi, “Grup, hedeflerine karşı uzun vadeli casusluk faaliyetleri yürütmek için belgeleri ve e-posta hesabı kimlik bilgilerini sızdırmanın yanı sıra ShadowPad ve Winnti’nin Linux sürümü gibi gelişmiş arka kapıları daha da dağıtmayı planlıyor” dedi. .
Cobalt Strike ve Winnti’yi sunmak için kullanılan sunucunun aynı zamanda kökleri açık kaynaklı Windows arka kapısı Trochilus’a dayanan SprySOCKS’u da barındırdığı gözlemlendi. Trochilus’un kullanımının geçmişte Webworm adlı Çinli bir bilgisayar korsanlığı ekibiyle bağlantılı olduğunu belirtmekte fayda var.
Mandibule olarak bilinen bir ELF enjektör bileşeninin bir çeşidi aracılığıyla yüklenen SprySOCKS, sistem bilgilerini toplamak, etkileşimli bir kabuk başlatmak, SOCKS proxy’si oluşturup sonlandırmak ve çeşitli dosya ve dizin işlemlerini gerçekleştirmek için donatılmıştır.
SaaS Güvenliğini Yükseltme: ITDR ve SSPM için Kapsamlı Bir Kılavuz
ITDR’nin tehditleri nasıl tanımlayıp azalttığına ilişkin eyleme geçirilebilir bilgilerle bir adım önde olun. Kimliğinizin ihlal edilemez kalmasını sağlamada SSPM’nin vazgeçilmez rolü hakkında bilgi edinin.
Becerilerinizi Güçlendirin
Komuta ve kontrol (C2) iletişimi, İletim Kontrol Protokolü (TCP) protokolü aracılığıyla gönderilen paketlerden oluşur; RedLeaves olarak adlandırılan ve Trochilus’un üzerine kurulduğu söylenen Windows tabanlı bir truva atının kullandığı yapıyı yansıtır.
Bugüne kadar en az iki farklı SprySOCKS örneği (sürüm 1.1 ve 1.3.6) tespit edildi; bu da kötü amaçlı yazılımın saldırganlar tarafından yeni özellikler eklemek için sürekli olarak değiştirildiğini gösteriyor.
Araştırmacılar, “Kuruluşların saldırı yüzeylerini proaktif bir şekilde yönetmeleri, sistemlerine potansiyel giriş noktalarını en aza indirmeleri ve başarılı bir ihlal olasılığını azaltmaları önemlidir” dedi.
“İşletmeler güvenliklerini, işlevselliklerini ve genel performanslarını sağlamak için düzenli olarak yamalar uygulamalı ve araçlarını, yazılımlarını ve sistemlerini güncellemelidir.”