‘Earth Lusca’, een aan China gelinkte cyberspionagespeler die zich sinds minstens 2021 actief richt op overheidsorganisaties in Azië, Latijns-Amerika en andere regio’s, is begonnen met het gebruik van een Linux-achterdeur met functies die lijken te zijn geïnspireerd op meerdere eerder bekende malwaretools.
De malware waar onderzoekers naar Trend Micro ontdekt en worden gevolgd omdat ‘SprySOCKS’ in de eerste plaats een Linux-variant is van ‘Trochilus’, een Windows Remote Access Trojan (RAT) waarvan de code is gelekt en in 2017 openbaar beschikbaar is geworden.
Linux-variant van Windows Backdoor
Trochilus heeft meerdere functies, waaronder het toestaan van bedreigingsactoren om op afstand bestanden te installeren en te verwijderen, toetsaanslagen te loggen en schermopnamen te maken, bestandsbeheer en registerbewerking. Een kernkenmerk van de malware is het vermogen om zijdelingse bewegingen mogelijk te maken. Volgens Trend Micro laten de belangrijkste uitvoeringsroutine en strings van SprySOCKS zien dat het afkomstig is van Trochilus en dat verschillende functies opnieuw zijn geïmplementeerd voor Linux-systemen.
Bovendien suggereert de Earth Lusca-implementatie van de interactieve shell van SprySOCKS dat deze is geïnspireerd op de Linux-versie van Derusbi, een voortdurend evoluerende familie van RAT's die geavanceerde aanhoudende dreigingsactoren sinds 2008 gebruiken. Ook lijkt de command-and-control (C2)-infrastructuur van SprySOCKS op een infrastructuur die dreigingsactoren geassocieerd zijn met een RAT in de tweede fase, genaamd Rode bladeren worden al meer dan vijf jaar gebruikt in cyberspionagecampagnes, aldus Trend Micro.
Net als andere soortgelijke malware bevat SprySOCKS meerdere functies, waaronder het verzamelen van systeeminformatie, het initiëren van een interactieve shell, het weergeven van netwerkverbindingen en het uploaden en exfiltreren van bestanden.
Ongrijpbare dreigingsacteur
Earth Lusca is een enigszins ongrijpbare bedreigingsacteur die Trend Micro sinds medio 2021 heeft waargenomen en zich richt op organisaties in Zuidoost-Azië en meer recentelijk in Centraal-Azië, de Balkan, Latijns-Amerika en Afrika. Er zijn aanwijzingen dat de groep er deel van uitmaakt Winnti, een losse cluster van cyberspionagegroepen waarvan wordt aangenomen dat ze namens of ter ondersteuning van de Chinese economische doelstellingen werken.
Tot de doelwitten van Earth Lusca behoorden onder meer regerings- en onderwijsinstellingen, pro-democratie- en mensenrechtengroeperingen, religieuze groeperingen, mediaorganisaties en organisaties die onderzoek naar COVID-19 uitvoeren. Het is vooral geïnteresseerd in overheidsinstanties die betrokken zijn bij buitenlandse zaken, telecommunicatie en technologie. Tegelijkertijd, hoewel de meeste aanvallen op Earth Lusca verband lijken te houden met cyberspionage, is de tegenstander af en toe ook achter cryptocurrency- en gokbedrijven aangegaan, wat suggereert dat deze ook financieel gemotiveerd zijn, aldus Trend Micro.
Bij veel van zijn aanvallen heeft de bedreigingsacteur gebruik gemaakt van spearphishing, gewone social engineering-zwendel en watering-hole-aanvallen om voet aan de grond te krijgen op een doelnetwerk. Sinds begin dit jaar hebben Earth Lusca-actoren zich ook agressief gericht op zogenaamde ‘n-day’-kwetsbaarheden in webgerichte applicaties om slachtoffernetwerken te infiltreren. Een n-day-kwetsbaarheid is een fout die een leverancier al heeft onthuld, maar waarvoor momenteel geen patch beschikbaar is. “De laatste tijd is de bedreigingsacteur zeer agressief geweest in het aanvallen van de publieke servers van zijn slachtoffers door bekende kwetsbaarheden te misbruiken”, aldus Trend Micro.
Een van de vele van dergelijke tekortkomingen waarvan is waargenomen dat Earth Lusca dit jaar uitbuit, zijn CVE-2022-40684, een kwetsbaarheid voor het omzeilen van authenticatie in Fortinet's FortiOS en andere technologieën; CVE-2022-39952, een bug voor het uitvoeren van externe code (RCE) in Fortinet FortiNAC; En CVE-2019-18935, een RCE in uitvoering Telerik UI voor ASP.NET AJAX. Andere bedreigingsactoren hebben deze bugs ook uitgebuit. CVE-2022-40684 is bijvoorbeeld een fout die een waarschijnlijk door China gesteunde bedreigingsacteur heeft gebruikt in een wijdverbreide cyberspionagecampagne genaamd ‘Volt-tyfoon,'gericht op organisaties in meerdere cruciale sectoren, waaronder de overheid, productie, communicatie en nutsvoorzieningen.
“Earth Lusca maakt gebruik van serverkwetsbaarheden om de netwerken van zijn slachtoffers te infiltreren, waarna het een webshell zal inzetten en Cobalt Strike zal installeren voor zijdelingse beweging”, aldus Trend Micro in zijn rapport. “De groep is van plan documenten en inloggegevens van e-mailaccounts te exfiltreren, en ook geavanceerde achterdeurtjes zoals ShadowPad en de Linux-versie van Winnti verder in te zetten om langdurige spionageactiviteiten tegen zijn doelwitten uit te voeren.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign
