サイバーセキュリティ問題を専門とする日本の企業トレンドマイクロの専門家は、Linux ファミリのシステムを実行するマシンを攻撃するために使用される悪意のあるプログラム SprySOCKS を発見しました。
新しいマルウェアは Windows バックドア Trochilus から来ています。 発見した 2015 年に Arbor Networks 社の研究者によって発見されたこのウイルスは、メモリ内でのみ起動および実行され、ペイロードはディスクに保存されないため、検出が大幅に複雑になります。 今年 2 月、トレンドマイクロの研究者は、2021 年から活動を監視していたグループが使用するサーバー上で「libmonitor.so.2」という名前のファイルを発見しました。 VirusTotal データベースで、関連する実行可能ファイル「mkmon」を発見しました。これは、「libmonitor.so.」を復号化し、そのペイロードを明らかにするのに役立ちました。
これは Linux 用の複雑な悪意のあるプログラムであることが判明し、その機能は Trochilus の機能と部分的に一致しており、Socket Secure (SOCKS) プロトコルの独自の実装を備えているため、このマルウェアには SprySOCKS という名前が付けられました。 これにより、システムに関する情報の収集、リモート管理コマンド インターフェイス (シェル) の起動、ネットワーク接続のリストの作成、SOCKS プロトコルに基づいたプロキシ サーバーの展開による侵害されたシステムと攻撃者のコマンド サーバー間のデータ交換が可能になります。他の操作を実行します。 マルウェアのバージョンを特定していることは、それがまだ開発中であることを示唆しています。
研究者らは、SprySOCKS が Earth Lusca グループのハッカーによって使用されていると示唆しています。これは 2021 年に初めて発見され、 年後にサイバー犯罪者のリストに掲載されました。 このグループはソーシャル エンジニアリング手法を使用してシステムを感染させます。 SprySOCKS は、Cobalt Strike および Winnti パッケージをペイロードとしてインストールします。 つ目は、脆弱性を見つけて悪用するためのキットです。 件目は 年以上前のもので、中国当局に連絡しています。 主にアジアをターゲットに活動するアース・ラスカ・グループは資金横領を目的としているという説もあるが、これはその被害者がギャンブルや仮想通貨に関わる企業であることが多いためである。
また読む: