“Earth Lusca”, um ator de espionagem cibernética ligado à China que tem visado ativamente organizações governamentais na Ásia, América Latina e outras regiões desde pelo menos 2021, começou a usar um backdoor Linux com recursos que parecem inspirados em várias ferramentas de malware anteriormente conhecidas.

O malware que os pesquisadores da Trend Micro descoberta e são rastreados como “SprySOCKS”, é primeiramente uma variante Linux de “Trochilus”, um Trojan de acesso remoto (RAT) do Windows cujo código vazou e se tornou disponível publicamente em 2017.

Variante Linux do Windows Backdoor

Tróquilo tem múltiplas funções, que incluem permitir que os agentes de ameaças instalem e desinstalem arquivos remotamente, registrem pressionamentos de tecla e façam capturas de tela, gerenciamento de arquivos e edição de registro. Uma característica central do malware é a capacidade de permitir movimentos laterais. Segundo a Trend Micro, a principal rotina de execução e strings do SprySOCKS mostram que ele se originou do Trochilus e teve diversas de suas funções reimplementadas para sistemas Linux.

Além disso, a implementação do shell interativo do SprySOCKS no Earth Lusca sugere que ele foi inspirado na versão Linux do Derusbi, uma família de RATs em constante evolução que os agentes de ameaças persistentes avançados têm usado desde 2008. Além disso, a infraestrutura de comando e controle (C2) do SprySOCKS se assemelha àquela que os agentes de ameaças associaram a um RAT de segundo estágio chamado Folhas vermelhas têm usado em campanhas de espionagem cibernética há mais de cinco anos, disse a Trend Micro.

Como outros malwares desse tipo, o SprySOCKS incorpora múltiplas funções, incluindo coleta de informações do sistema, inicialização de um shell interativo, listagem de conexões de rede e upload e exfiltração de arquivos.

Ator de ameaças indescritíveis

Earth Lusca é um ator de ameaça um tanto evasivo que a Trend Micro tem observado desde meados de 2021, visando organizações no sudeste da Ásia e, mais recentemente, na Ásia Central, nos Bálcãs, na América Latina e na África. As evidências sugerem que o grupo faz parte de Winnti, um grupo solto de grupos de espionagem cibernética que se acredita estarem a trabalhar em nome ou em apoio aos objectivos económicos chineses.

Os alvos da Earth Lusca incluíram instituições governamentais e educacionais, grupos pró-democracia e de direitos humanos, grupos religiosos, organizações de mídia e organizações que conduzem pesquisas sobre a COVID-19. Tem estado especialmente interessado em agências governamentais envolvidas em relações exteriores, telecomunicações e tecnologia. Ao mesmo tempo, embora a maioria dos ataques do Earth Lusca pareçam estar relacionados à espionagem cibernética, ocasionalmente o adversário também perseguiu empresas de criptomoedas e jogos de azar, sugerindo que também tem motivação financeira, disse a Trend Micro.

Em muitos de seus ataques, o ator da ameaça usou spear-phishing, golpes comuns de engenharia social e ataques watering hole para tentar obter uma posição segura em uma rede alvo. Desde o início deste ano, os atores do Earth Lusca também têm visado agressivamente as chamadas vulnerabilidades de “n dias” em aplicações voltadas para a Web para se infiltrarem nas redes das vítimas. Uma vulnerabilidade de n dias é uma falha que um fornecedor já divulgou, mas para a qual nenhum patch está disponível atualmente. “Recentemente, o ator da ameaça tem sido altamente agressivo ao atingir os servidores públicos de suas vítimas, explorando vulnerabilidades conhecidas”, disse a Trend Micro.

Entre as muitas falhas que a Terra Lusca foi observada explorando este ano estão CVE-2022-40684, uma vulnerabilidade de desvio de autenticação no FortiOS da Fortinet e outras tecnologias; CVE-2022-39952, um bug de execução remota de código (RCE) no Fortinet FortiNAC; e CVE-2019-18935, um RCE em andamento Telerik UI para ASP.NET AJAX. Outros atores de ameaças também exploraram esses bugs. CVE-2022-40684, por exemplo, é uma falha que um provável ator de ameaça apoiado pela China usou em uma campanha generalizada de espionagem cibernética apelidada de “Tufão Volt,” visando organizações em vários setores críticos, incluindo governo, manufatura, comunicação e serviços públicos.

“O Earth Lusca aproveita as vulnerabilidades do servidor para se infiltrar nas redes de suas vítimas, após o que implantará um web shell e instalará o Cobalt Strike para movimento lateral”, disse a Trend Micro em seu relatório. “O grupo pretende exfiltrar documentos e credenciais de contas de e-mail, bem como implantar backdoors avançados como ShadowPad e a versão Linux do Winnti para conduzir atividades de espionagem de longo prazo contra seus alvos.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign