بدافزار جدید از کاربران لینوکس جاسوسی می‌کند

کمیته رکن چهارم – محققان امنیت سایبری یک بدافزار جدید کشف کرده‌اند که گروه‌های هکری از ن برای جاسوسی از کاربران لینوکس استفاده می‌کنند.

بدافزار جدید لینوکس با نام SprySOCKS در حملات جاسوسی سایبری استفاده می‌شود. در اوایل سال ۲۰۲۱، مقاله‌ای تحقیقی منتشر شد که در آن به بررسی عملکرد یک عامل تهدید به نام «Earth Lusca» پرداخته شد. از زمان انتشار تحقیق اولیه، این گروه فعالیت خود را ادامه داده و حتی در نیمه اول سال ۲۰۲۳ عملیات‌های خود را گسترش داده و به کشورهای مختلف در سراسر جهان حمله کرده است.

یک گروه محقق در حین نظارت بر این گروه، موفق به به‌دست آوردن یک فایل رمزگذاری شده جالب از سرور تهدیدکننده شد و توانست بارگذار اصلی این فایل را در VirusTotal پیدا کرده و با موفقیت آن را رمزگشایی کنند. جالب اینجاست که پس از رمزگشایی، این گروه متوجه شدند که این بارگذار یک درپشتی جدید برای سیستم‌های لینوکس است که تا آن زمان دیده نشده بود. این درب پشتی جدید به نام «SprySOCKS» نامگذاری شده است، که به سرعت و توانایی اجرایی Trochilusو پیاده‌سازی جدید امنیتی SOCKS اشاره دارد.

تحلیل درپشتی SprySOCKS نشان می‌دهد که این درپشتی دارای ویژگی‌های جالبی است. این درپشتی حاوی نشانگری است که به شماره نسخه آن اشاره دارد. دو نسخه مختلف از درپشتی SprySOCKS با دو شماره نسخه متفاوت شناسایی شده، که نشان می‌دهد که این درپشتی همچنان در دست توسعه است. علاوه بر این، پروتکل (C&C) SprySOCKS شبیه به پروتکلی است که توسط درپشتی RedLeaves که یک تروجان دسترسی از راه دور (RAT) برای سیستم‌های ویندوز است، استفاده می‌شود. این پروتکل شامل دو مؤلفه، بارگذار و بارگذاری کردن بسته‌های اصلی رمزگذاری شده است. بارگذار مسئولیت خواندن، رمزگشایی و اجرای بسته‌های اصلی را دارد.

در نیمه اول سال ۲۰۲۳، Earth Lusca فعالیت خود را ادامه داد و حملات آن به‌طور اساسی روی کشورهای جنوب شرق آسیا، آسیای مرکزی و کشورهای بالکان تمرکز داشت (با چندین حمله گسترده به کشورهای لاتین و آفریقایی). اهداف اصلی این گروه ادارات دولتی هستند که در امور خارجی، فناوری و ارتباطات فعالیت دارند.

Earth Lusca در حال حاضر به‌طور فزاینده‌ای به سرورهای عمومی حمله می‌کند. علاوه بر این، ما دیده‌ایم که آنها به‌طور مکرر آسیب‌پذیری‌های N-day مبتنی بر سرور را بهره‌بری می‌کنند، از جمله (اما نه محدود به) آسیب‌پذیری‌های زیر:

• CVE-2022-40684: یک آسیب‌پذیری دور زدن احراز هویت در Fortinet FortiOS، FortiProxy و FortiSwitchManager
• CVE-2022-39952: یک آسیب‌پذیری اجرای کد از راه دور بدون نیاز به احراز هویت (RCE) در Fortinet FortiNAC
• CVE-2021-22205: یک آسیب‌پذیری اجرای کد از راه دور بدون احراز هویت (RCE) در GitLab CE/EE
• CVE-2019-18935: یک آسیب‌پذیری اجرای کد از راه دور بدون احراز هویت در Progress Telerik UI for ASP.NET AJAX
• CVE-2019-9670 / CVE-2019-9621: یک دسته از دو آسیب‌پذیری برای اجرای کد از راه دور بدون احراز هویت در Zimbra Collaboration Suite
• ProxyShell (CVE-2021-34473، CVE-2021-34523v، CVE-2021-31207): یک مجموعه از سه آسیب‌پذیری متصل که اجرای کد از راه دور بدون احراز هویت در Microsoft Exchange را انجام می‌دهند.

Earth Lusca از آسیب‌پذیری‌های سرور برای نفوذ به شبکه‌های قربانیان خود بهره می‌گیرد، پس از آن یک پوسته وب (web shell) را نصب کرده و Cobalt Strike را برای جابجایی جانبی استفاده می‌کند. اسناد و اطلاعات از حساب‌های ایمیل را جابجا می‌کند، همچنین به نصب داده‌های پشتیبان پیشرفته مانند ShadowPad و نسخه لینوکسی Winnti برای انجام فعالیت‌های جاسوسی بلندمدت علیه اهداف خود می‌پردازد.

توصیه‌های امنیتی

1. به‌روزرسانی سیستم‌ها و نرم‌افزارها: اطمینان حاصل کنید که تمام سیستم‌ها، نرم‌افزارها و ابزارهای خود به‌روزرسانی شده و با آخرین تصحیحات امنیتی مجهز باشند. به‌خصوص، توجه داشته باشید که به روزرسانی‌های امنیتی مهمی را که توسط تأمین کنندگان نرم‌افزار ارائه می‌شوند، اعمال کنید.
2. مدیریت آسیب‌پذیری‌ها: اسکن دوره‌ای آسیب‌پذیری‌های سیستم‌ها و شبکه‌ها را انجام دهید و آسیب‌پذیری‌های شناخته شده را به‌سرعت رفع کنید. SprySOCKS از آسیب‌پذیری‌ها برای حملات خود استفاده می‌کند.
3. پشتیبانی از داده‌ها: ایجاد نسخه‌پشتیبان منظم از داده‌های مهم و اطلاعات حیاتی در مواجهه با احتمال حملات و بهره‌برداری‌های ناخواسته به کمک می‌آید.

منبع : افتانا