„Earth Lusca“, ein mit China verbundener Cyberspionageakteur, der seit mindestens 2021 aktiv Regierungsorganisationen in Asien, Lateinamerika und anderen Regionen ins Visier nimmt, hat damit begonnen, eine Linux-Hintertür mit Funktionen zu verwenden, die von mehreren zuvor bekannten Malware-Tools inspiriert zu sein scheinen.

Die Malware, die Forscher untersuchen Trend Micro entdeckt und als „SprySOCKS“ verfolgt werden, handelt es sich in erster Linie um eine Linux-Variante von „Trochilus“, einem Windows-Remote-Access-Trojaner (RAT), dessen Code durchgesickert ist und 2017 öffentlich verfügbar wurde.

Linux-Variante der Windows-Hintertür

Trochilus hat mehrere funktionen, Dazu gehört, dass Bedrohungsakteure aus der Ferne Dateien installieren und deinstallieren, Tastenanschläge protokollieren sowie Screenshots erstellen, Dateien verwalten und die Registrierung bearbeiten können. Ein Kernmerkmal der Malware ist ihre Fähigkeit, laterale Bewegungen zu ermöglichen. Laut Trend Micro zeigen die Hauptausführungsroutine und die Zeichenfolgen von SprySOCKS, dass es von Trochilus stammt und mehrere seiner Funktionen für Linux-Systeme neu implementiert wurden.

Darüber hinaus deutet die Earth-Lusca-Implementierung der interaktiven Shell von SprySOCKS darauf hin, dass sie von der Linux-Version von inspiriert wurde Derusbi, eine sich ständig weiterentwickelnde Familie von RATs, die fortgeschrittene persistente Bedrohungsakteure seit 2008 verwenden. Außerdem ähnelt die Command-and-Control-Infrastruktur (C2) von SprySOCKS einer, die Bedrohungsakteure mit einem RAT der zweiten Stufe in Verbindung bringen Rote Blätter werden seit mehr als fünf Jahren in Cyber-Spionagekampagnen eingesetzt, sagte Trend Micro.

Wie andere Malware dieser Art verfügt SprySOCKS über mehrere Funktionen, darunter das Sammeln von Systeminformationen, das Initiieren einer interaktiven Shell, das Auflisten von Netzwerkverbindungen sowie das Hochladen und Herausfiltern von Dateien.

Schwer fassbarer Bedrohungsschauspieler

Earth Lusca ist ein etwas schwer fassbarer Bedrohungsakteur, den Trend Micro seit Mitte 2021 beobachtet hat und der auf Organisationen in Südostasien und neuerdings auch auf Zentralasien, den Balkan, Lateinamerika und Afrika abzielt. Es gibt Hinweise darauf, dass die Gruppe Teil davon ist Winnti, eine lose Gruppe von Cyberspionagegruppen, von denen angenommen wird, dass sie im Namen oder zur Unterstützung chinesischer Wirtschaftsziele arbeiten.

Zu den Zielen von Earth Lusca gehörten Regierungs- und Bildungseinrichtungen, Pro-Demokratie- und Menschenrechtsgruppen, religiöse Gruppen, Medienorganisationen und Organisationen, die COVID-19-Forschung betreiben. Besonderes Interesse galt den Regierungsbehörden, die in den Bereichen Außenpolitik, Telekommunikation und Technologie tätig sind. Während die meisten Angriffe von Earth Lusca offenbar mit Cyberspionage zu tun zu haben scheinen, hat der Angreifer gelegentlich auch Kryptowährungs- und Glücksspielfirmen angegriffen, was darauf hindeutet, dass die Attacken auch finanziell motiviert waren, so Trend Micro.

Bei vielen seiner Angriffe nutzte der Bedrohungsakteur Spear-Phishing, gängige Social-Engineering-Betrügereien und Watering-Hole-Angriffe, um in einem Zielnetzwerk Fuß zu fassen. Seit Anfang dieses Jahres haben Earth-Lusca-Akteure auch aggressiv sogenannte „n-day“-Schwachstellen in webbasierten Anwendungen gezielt ins Visier genommen, um die Netzwerke der Opfer zu infiltrieren. Eine N-Day-Schwachstelle ist eine Schwachstelle, die ein Anbieter bereits offengelegt hat, für die jedoch derzeit kein Patch verfügbar ist. „In letzter Zeit ist der Bedrohungsakteur äußerst aggressiv vorgegangen, indem er die öffentlich zugänglichen Server seiner Opfer angegriffen hat, indem er bekannte Schwachstellen ausgenutzt hat“, sagte Trend Micro.

Zu den vielen solchen Fehlern, die Earth Lusca in diesem Jahr ausnutzen konnte, gehören: CVE-2022-40684, eine Sicherheitslücke zur Authentifizierungsumgehung in Fortinets FortiOS und anderen Technologien; CVE-2022-39952, ein RCE-Fehler (Remote Code Execution) in Fortinet FortiNAC; Und CVE-2019-18935, ein RCE in Progress Telerik UI für ASP.NET AJAX. Auch andere Bedrohungsakteure haben diese Fehler ausgenutzt. CVE-2022-40684 ist beispielsweise ein Fehler, den ein wahrscheinlich von China unterstützter Bedrohungsakteur in einer weit verbreiteten Cyberspionagekampagne mit dem Namen „Volt-Taifun,” und richtet sich an Organisationen in mehreren kritischen Sektoren, darunter Regierung, Fertigung, Kommunikation und Versorgungsunternehmen.

„Earth Lusca nutzt Serverschwachstellen aus, um die Netzwerke seiner Opfer zu infiltrieren. Anschließend wird es eine Web-Shell bereitstellen und Cobalt Strike für die laterale Bewegung installieren“, sagte Trend Micro in seinem Bericht. „Die Gruppe beabsichtigt, Dokumente und Anmeldeinformationen für E-Mail-Konten zu exfiltrieren und weiterhin fortschrittliche Hintertüren wie ShadowPad und die Linux-Version von Winnti einzusetzen, um langfristige Spionageaktivitäten gegen ihre Ziele durchzuführen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign