"अर्थ लुस्का", एक चीन से जुड़ा साइबर जासूसी अभिनेता जो कम से कम 2021 से एशिया, लैटिन अमेरिका और अन्य क्षेत्रों में सरकारी संगठनों को सक्रिय रूप से लक्षित कर रहा है, ने लिनक्स बैकडोर का उपयोग उन सुविधाओं के साथ शुरू कर दिया है जो पहले से ज्ञात कई मैलवेयर टूल से प्रेरित प्रतीत होते हैं।

वह मैलवेयर जिस पर शोधकर्ता हैं ट्रेंड माइक्रो की खोज की गई और "SprySOCKS" के रूप में ट्रैक कर रहे हैं, यह सबसे पहले "ट्रोचिलस" का एक लिनक्स संस्करण है, एक विंडोज़ रिमोट एक्सेस ट्रोजन (RAT) जिसका कोड लीक हो गया और 2017 में सार्वजनिक रूप से उपलब्ध हो गया।

विंडोज़ बैकडोर का लिनक्स संस्करण

ट्रोचिलस के पास है एकाधिक कार्य, जिसमें ख़तरनाक अभिनेताओं को फ़ाइलों को दूरस्थ रूप से इंस्टॉल और अनइंस्टॉल करने, कीस्ट्रोक्स लॉग करने और स्क्रीन कैप्चर, फ़ाइल प्रबंधन और रजिस्ट्री संपादन करने की अनुमति देना शामिल है। मैलवेयर की एक मुख्य विशेषता पार्श्व गति को सक्षम करने की इसकी क्षमता है। ट्रेंड माइक्रो के अनुसार, स्प्रीसॉक्स की मुख्य निष्पादन दिनचर्या और स्ट्रिंग्स से पता चलता है कि इसकी उत्पत्ति ट्रोचिलस से हुई थी और इसके कई कार्यों को लिनक्स सिस्टम के लिए फिर से लागू किया गया था।

इसके अलावा, स्प्रीसॉक्स के इंटरैक्टिव शेल के अर्थ लुस्का कार्यान्वयन से पता चलता है कि यह लिनक्स संस्करण से प्रेरित था Derusbiआरएटी का एक निरंतर विकसित हो रहा परिवार, जिसका उपयोग उन्नत निरंतर खतरे वाले अभिनेता 2008 से कर रहे हैं। इसके अलावा, स्प्रीसॉक्स का कमांड-एंड-कंट्रोल (सी2) बुनियादी ढांचा उस जैसा दिखता है, जिसे दूसरे चरण के आरएटी से जुड़े खतरे वाले अभिनेता कहा जाता है। लाल पत्तियां ट्रेंड माइक्रो ने कहा, पांच साल से अधिक समय से साइबर जासूसी अभियानों में इसका इस्तेमाल किया जा रहा है।

अपने जैसे अन्य मैलवेयर की तरह, SprySOCKS में सिस्टम जानकारी एकत्र करने, एक इंटरैक्टिव शेल शुरू करने, नेटवर्क कनेक्शन सूचीबद्ध करने और फ़ाइलों को अपलोड करने और एक्सफ़िल्टर करने सहित कई कार्य शामिल हैं।

मायावी ख़तरा अभिनेता

अर्थ लुस्का कुछ हद तक मायावी ख़तरनाक अभिनेता है जिसे ट्रेंड माइक्रो ने 2021 के मध्य से देखा है, जो दक्षिण पूर्व एशिया और हाल ही में मध्य एशिया, बाल्कन, लैटिन अमेरिका और अफ्रीका में संगठनों को लक्षित कर रहा है। साक्ष्य से पता चलता है कि यह समूह किसका हिस्सा है विन्न्तिमाना जाता है कि साइबर जासूसी समूहों का एक ढीला समूह चीनी आर्थिक उद्देश्यों की ओर से या उनके समर्थन में काम कर रहा है।

अर्थ लुस्का के लक्ष्यों में सरकारी और शैक्षणिक संस्थान, लोकतंत्र समर्थक और मानवाधिकार समूह, धार्मिक समूह, मीडिया संगठन और COVID-19 अनुसंधान करने वाले संगठन शामिल हैं। इसकी विशेष रुचि विदेशी मामलों, दूरसंचार और प्रौद्योगिकी में शामिल सरकारी एजेंसियों में रही है। ट्रेंड माइक्रो ने कहा कि उसी समय, जबकि अर्थ लुस्का के अधिकांश हमले साइबर जासूसी से संबंधित प्रतीत होते हैं, मौके पर प्रतिद्वंद्वी क्रिप्टोकरेंसी और जुआ फर्मों के पीछे भी चला गया है, यह सुझाव देता है कि यह वित्तीय रूप से प्रेरित भी है।

अपने कई हमलों में, धमकी देने वाले अभिनेता ने लक्ष्य नेटवर्क पर पैर जमाने की कोशिश करने के लिए स्पीयर-फ़िशिंग, सामान्य सोशल इंजीनियरिंग घोटाले और वाटरिंग-होल हमलों का उपयोग किया है। इस वर्ष की शुरुआत से, अर्थ लुस्का अभिनेता भी पीड़ित नेटवर्क में घुसपैठ करने के लिए वेब-फेसिंग अनुप्रयोगों में तथाकथित "एन-डे" कमजोरियों को आक्रामक रूप से लक्षित कर रहे हैं। एन-डे भेद्यता एक दोष है जिसे विक्रेता ने पहले ही प्रकट कर दिया है लेकिन जिसके लिए वर्तमान में कोई पैच उपलब्ध नहीं है। ट्रेंड माइक्रो ने कहा, "हाल ही में, धमकी देने वाला अभिनेता ज्ञात कमजोरियों का फायदा उठाकर अपने पीड़ितों के सार्वजनिक-सामना वाले सर्वर को लक्षित करने में अत्यधिक आक्रामक रहा है।"

ऐसी कई खामियों में से एक है जिसका फायदा अर्थ लुस्का को इस साल उठाते हुए देखा गया है CVE-2022-40684, Fortinet के FortiOS और अन्य प्रौद्योगिकियों में एक प्रमाणीकरण बायपास भेद्यता; CVE-2022-39952, Fortinet FortiNAC में एक रिमोट कोड निष्पादन (RCE) बग; और CVE-2019-18935, ASP.NET AJAX के लिए एक RCE प्रगति पर टेलरिक यूआई। अन्य खतरनाक अभिनेताओं ने भी इन बगों का फायदा उठाया है। उदाहरण के लिए, सीवीई-2022-40684 एक दोष है जिसे संभावित रूप से चीन समर्थित धमकी देने वाले अभिनेता ने व्यापक साइबर जासूसी अभियान में इस्तेमाल किया है जिसे “वोल्ट तूफ़ान,सरकार, विनिर्माण, संचार और उपयोगिताओं सहित कई महत्वपूर्ण क्षेत्रों के संगठनों को लक्षित करना।

ट्रेंड माइक्रो ने अपनी रिपोर्ट में कहा, "अर्थ लुस्का अपने पीड़ितों के नेटवर्क में घुसपैठ करने के लिए सर्वर की कमजोरियों का फायदा उठाता है, जिसके बाद यह एक वेब शेल तैनात करेगा और पार्श्व आंदोलन के लिए कोबाल्ट स्ट्राइक स्थापित करेगा।" "समूह का इरादा दस्तावेजों और ईमेल खाते के क्रेडेंशियल्स को बाहर निकालने का है, साथ ही अपने लक्ष्यों के खिलाफ दीर्घकालिक जासूसी गतिविधियों का संचालन करने के लिए शैडोपैड और विन्नटी के लिनक्स संस्करण जैसे उन्नत बैकडोर को तैनात करने का है।"

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign