بدأ "Earth Lusca"، وهو ممثل تجسس إلكتروني مرتبط بالصين ويستهدف بنشاط المنظمات الحكومية في آسيا وأمريكا اللاتينية ومناطق أخرى منذ عام 2021 على الأقل، في استخدام باب خلفي لنظام Linux مع ميزات تبدو مستوحاة من العديد من أدوات البرامج الضارة المعروفة سابقًا.
البرمجيات الخبيثة التي الباحثين فيها تم اكتشاف تريند مايكرو ويتم تتبعها باسم "SprySOCKS"، وهو في البداية نسخة Linux من "Trochilus"، وهو حصان طروادة للوصول عن بعد لنظام Windows (RAT) والذي تم تسريب كوده وأصبح متاحًا للعامة في عام 2017.
نسخة Linux من Windows Backdoor
لدى تروكيلوس وظائف متعددة، والتي تشمل السماح للجهات الفاعلة في مجال التهديد بتثبيت الملفات وإلغاء تثبيتها عن بعد، وتسجيل ضغطات المفاتيح، والتقاط لقطات الشاشة، وإدارة الملفات، وتحرير التسجيل. إحدى الميزات الأساسية للبرامج الضارة هي قدرتها على تمكين الحركة الجانبية. وفقًا لـ Trend Micro، يُظهر روتين التنفيذ الرئيسي لـ SprySOCKS وسلاسله أنه نشأ من Trochilus وتم إعادة تنفيذ العديد من وظائفه لأنظمة Linux.
بالإضافة إلى ذلك، يشير تطبيق Earth Lusca للقشرة التفاعلية لـ SprySOCKS إلى أنها مستوحاة من إصدار Linux من ديروسبي، وهي عائلة تتطور باستمرار من RATs التي تستخدمها الجهات الفاعلة في مجال التهديد المستمر منذ عام 2008. كما أن البنية التحتية للقيادة والتحكم (C2) الخاصة بـ SprySOCKS تشبه تلك التي ترتبط بها الجهات الفاعلة في مجال التهديد مع RAT في المرحلة الثانية والتي تسمى الأوراق الحمراء وقالت تريند مايكرو إن هذه البرمجيات استخدمت في حملات التجسس الإلكتروني لأكثر من خمس سنوات.
مثل البرامج الضارة الأخرى من نوعها، يتضمن SprySOCKS وظائف متعددة بما في ذلك جمع معلومات النظام، وبدء غلاف تفاعلي، وسرد اتصالات الشبكة، وتحميل الملفات وإخراجها.
ممثل التهديد بعيد المنال
تعد Earth Lusca جهة تهديد بعيدة المنال إلى حد ما لاحظتها Trend Micro منذ منتصف عام 2021، وتستهدف المنظمات في جنوب شرق آسيا ومؤخرًا في آسيا الوسطى والبلقان وأمريكا اللاتينية وأفريقيا. تشير الأدلة إلى أن المجموعة جزء منها وينتي، وهي مجموعة فضفاضة من مجموعات التجسس السيبراني يعتقد أنها تعمل لصالح أو لدعم الأهداف الاقتصادية الصينية.
وشملت أهداف Earth Lusca المؤسسات الحكومية والتعليمية، والجماعات المؤيدة للديمقراطية وجماعات حقوق الإنسان، والجماعات الدينية، والمنظمات الإعلامية، والمنظمات التي تجري أبحاثًا حول فيروس كورونا. وقد اهتمت بشكل خاص بالوكالات الحكومية المعنية بالشؤون الخارجية والاتصالات والتكنولوجيا. وفي الوقت نفسه، في حين يبدو أن معظم هجمات Earth Lusca مرتبطة بالتجسس السيبراني، إلا أنه في بعض الأحيان كان الخصم يلاحق شركات العملات المشفرة والمقامرة أيضًا، مما يشير إلى أن دوافعها مالية أيضًا، حسبما ذكرت Trend Micro.
في العديد من هجماتها، استخدم ممثل التهديد التصيد الاحتيالي، وعمليات الاحتيال الشائعة في مجال الهندسة الاجتماعية، والهجمات الخادعة لمحاولة الحصول على موطئ قدم على الشبكة المستهدفة. منذ بداية هذا العام، استهدفت الجهات الفاعلة في Earth Lusca بقوة ما يسمى بنقاط الضعف "n-day" في التطبيقات التي تواجه الويب لاختراق شبكات الضحايا. تعد الثغرة الأمنية التي تستغرق n-day عيبًا كشف عنه البائع بالفعل ولكن لا يتوفر تصحيح له حاليًا. وقالت تريند مايكرو: "في الآونة الأخيرة، كان ممثل التهديد عدوانيًا للغاية في استهداف الخوادم العامة لضحاياه من خلال استغلال نقاط الضعف المعروفة".
من بين العيوب العديدة التي لوحظ أن Earth Lusca تستغلها هذا العام CVE-2022-40684، ثغرة أمنية لتجاوز المصادقة في FortiNet's FortiOS والتقنيات الأخرى؛ CVE-2022-39952، خطأ في تنفيذ التعليمات البرمجية عن بعد (RCE) في Fortinet FortiNAC؛ و CVE-2019-18935، RCE قيد التقدم Telerik UI لـ ASP.NET AJAX. وقد استغلت جهات التهديد الأخرى هذه الأخطاء أيضًا. على سبيل المثال، يعد CVE-2022-40684 عيبًا استخدمه أحد جهات التهديد المدعومة من الصين في حملة تجسس إلكترونية واسعة النطاق أطلق عليها اسم "فولت تايفون," تستهدف المؤسسات عبر قطاعات حيوية متعددة بما في ذلك الحكومة والتصنيع والاتصالات والمرافق العامة.
وقالت تريند مايكرو في تقريرها: "تستغل Earth Lusca نقاط الضعف في الخادم للتسلل إلى شبكات ضحاياها، وبعد ذلك ستقوم بنشر غلاف ويب وتثبيت Cobalt Strike للحركة الجانبية". "تعتزم المجموعة سرقة المستندات وبيانات اعتماد حساب البريد الإلكتروني، بالإضافة إلى نشر أبواب خلفية متقدمة مثل ShadowPad وإصدار Linux من Winnti للقيام بأنشطة تجسس طويلة المدى ضد أهدافها."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign
