Des pirates chinois ont déclenché une porte dérobée Linux inédite

[ad_1]

Des chercheurs ont découvert une porte dérobée inédite pour Linux, utilisée par un acteur malveillant lié au gouvernement chinois.

La nouvelle porte dérobée provient d’une porte dérobée Windows nommée Trochilus, qui a été vue pour la première fois en 2015 par des chercheurs d’Arbor Networks, désormais connu sous le nom de Netscout. Ils ont déclaré que Trochilus s’exécutait et s’exécutait uniquement en mémoire et que la charge utile finale n’apparaissait jamais sur les disques dans la plupart des cas. Cela rendait le malware difficile à détecter. Des chercheurs du NHS Digital au Royaume-Uni ont déclaré que Trochilus avait été développé par APT10, un groupe de menaces persistantes avancées lié au gouvernement chinois qui porte également les noms de Stone Panda et MenuPass.

D’autres groupes l’ont finalement utilisé et son code source est disponible sur GitHub depuis plus de six ans. Trochilus a été utilisé dans des campagnes utilisant un logiciel malveillant distinct appelé RedLeaves.

En juin, des chercheurs de la société de sécurité Trend Micro ont trouvé un fichier binaire crypté sur un serveur connu pour être utilisé par un groupe qu’ils suivaient depuis 2021. En recherchant dans VirusTotal le nom du fichier, ​​libmonitor.so.2, les chercheurs ont localisé un fichier exécutable Linux nommé « mkmon ». Cet exécutable contenait des informations d’identification qui pourraient être utilisées pour décrypter le fichier libmonitor.so.2 et récupérer sa charge utile d’origine, ce qui a conduit les chercheurs à conclure que « mkmon » est un fichier d’installation qui a livré et décrypté libmonitor.so.2.

Le malware Linux a porté plusieurs fonctions trouvées dans Trochilus et les a combinées avec une nouvelle implémentation Socket Secure (SOCKS). Les chercheurs de Trend Micro ont finalement nommé leur découverte SprySOCKS, « spry » désignant son comportement rapide et le composant SOCKS ajouté.

SprySOCKS implémente les fonctionnalités habituelles de porte dérobée, notamment la collecte d’informations sur le système, l’ouverture d’un shell distant interactif pour contrôler les systèmes compromis, la liste des connexions réseau et la création d’un proxy basé sur le protocole SOCKS pour télécharger des fichiers et d’autres données entre le système compromis et le système contrôlé par l’attaquant. serveur de commande. Le tableau suivant présente certaines des fonctionnalités :

ID du message Remarques
0x09 Obtient des informations sur la machine
0x0a Démarre le shell interactif
0x0b Écrit des données dans un shell interactif
0x0d Arrête le shell interactif
0x0e Répertorie les connexions réseau (paramètres : « ip », « port », « commName », « connectType »)
0x0f Envoie le paquet (paramètre : « cible »)
0x14, 0x19 Envoie le paquet d’initialisation
0x16 Génère et définit l’ID client
0x17 Liste les connexions réseau (paramètres : « tcp_port », « udp_port », « http_port », « listen_type », « listen_port »)
0x23 Crée un proxy SOCKS
0x24 Termine le proxy SOCKS
0x25 Transfère les données du proxy SOCKS
0x2a Fichier de téléchargement (paramètres : « transfer_id », « size »)
0x2b Obtient l’ID de transfert de fichiers
0x2c Fichier de téléchargements (paramètres : « state », « transferId », « packageId », « packageCount », « file_size »)
0x2d Obtient l’état du transfert (paramètres : « state », « transferId », « result », « packageId »)
0x3c Énumère les fichiers à la racine /
0x3d Énumère les fichiers dans le répertoire
0x3e Supprime le fichier
0x3f Crée un répertoire
0x40 Renomme le fichier
0x41 Pas d’opération
0x42 Est lié aux opérations 0x3c – 0x40 (srcPath, destPath)

Après avoir déchiffré le binaire et trouvé SprySOCKS, les chercheurs ont utilisé les informations trouvées pour rechercher dans VirusTotal les fichiers associés. Leur recherche a révélé une version du malware portant le numéro de version 1.1. La version trouvée par Trend Micro était 1.3.6. Les multiples versions suggèrent que la porte dérobée est actuellement en cours de développement.

Le serveur de commande et de contrôle auquel SprySOCKS se connecte présente des similitudes majeures avec un serveur utilisé dans une campagne avec un autre malware Windows connu sous le nom de RedLeaves. Comme SprySOCKS, RedLeaves était également basé sur Trochilus. Les chaînes qui apparaissent à la fois dans Trochilus et RedLeaves apparaissent également dans le composant SOCKS ajouté à SprySOCKS. Le code SOCKS a été emprunté à HP-Socket, un framework réseau haute performance d’origine chinoise.

Trend Micro attribue SprySOCKS à un acteur menaçant qu’il a surnommé Earth Lusca. Les chercheurs ont découvert le groupe en 2021 et l’ont documenté l’année suivante. Earth Lusca cible les organisations du monde entier, principalement les gouvernements d’Asie. Il utilise l’ingénierie sociale pour attirer les cibles vers des sites où les cibles sont infectées par des logiciels malveillants. En plus de s’intéresser aux activités d’espionnage, Earth Lusca semble motivé par des considérations financières et vise les sociétés de jeux de hasard et de crypto-monnaie.

Le même serveur Earth Lusca qui hébergeait SprySOCKS a également fourni les charges utiles connues sous le nom de Cobalt Strike et Winnti. Cobalt Strike est un outil de piratage utilisé aussi bien par les professionnels de la sécurité que par les acteurs malveillants. Il fournit une suite complète d’outils pour rechercher et exploiter les vulnérabilités. Earth Lusca l’utilisait pour étendre son accès après avoir fait un premier pas dans un environnement ciblé. Winnti, quant à lui, est le nom à la fois d’une suite de logiciels malveillants utilisés depuis plus d’une décennie et de l’identifiant d’une multitude de groupes de menaces distincts, tous connectés à l’appareil de renseignement du gouvernement chinois, qui compte parmi les plus importants au monde. les syndicats de hackers les plus prolifiques.

Le rapport Trend Micro de lundi fournit des adresses IP, des hachages de fichiers et d’autres preuves que les utilisateurs peuvent utiliser pour déterminer s’ils ont été compromis.

[ad_2]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*