Исследователи обнаружили невиданный ранее бэкдор для Linux, который используется злоумышленниками, связанными с китайским правительством.
Он происходит от бэкдора для Windows под названием Trochilus, который впервые был обнаружен в 2015 году исследователями из Arbor Networks, ныне известной как Netscout, передает ArsTechnica.
Исследователи из британской компании NHS Digital утверждают, что Trochilus был разработан группой APT10, связанной с китайским правительством, также известной под названиями Stone Panda и MenuPass.
Впоследствии его использовали другие группы, а его исходный код уже более шести лет доступен на GitHub. Trochilus был замечен в кампаниях, которые использовали отдельную часть вредоносного программного обеспечения, известную как RedLeaves.
В июне исследователи из компании Trend Micro обнаружили зашифрованный двоичный файл на сервере, что использовался группой, за которой они следили с 2021 года. Проведя поиск в VirusTotal по названию файла libmonitor.so.2, исследователи нашли исполняемый файл Linux под названием mkmon. Он содержал учетные данные, с помощью которых расшифровали файл libmonitor.so.2, что позволило исследователям сделать вывод, что mkmon — это установочный файл libmonitor.so.2.
Вредоносное программное обеспечение для Linux портировало несколько функций, найденных в Trochilus, и объединило их с новой реализацией Socket Secure (SOCKS). Исследователи Trend Micro назвали свое открытие SprySOCKS, где spry означает быстрое поведение.
SprySOCKS реализует обычные возможности бэкдора, включая сбор системной информации, открытие интерактивной удаленной оболочки для управления скомпрометированными системами, создание списка сетевых соединений и создание прокси-сервера на основе протокола SOCKS для загрузки файлов и других данных между скомпрометированной системой и подконтрольным злоумышленнику командным сервером.
Trend Micro связывает SprySOCKS с субъектом угрозы Earth Lusca. Исследователи обнаружили группу в 2021 году. Earth Lusca нацелена на организации по всему миру, в первую очередь на правительства стран Азии. Она использует социальную инженерию, чтобы заманивать жертв на сайты-«водопои», где их заражают вредоносным программным обеспечением. Кроме интереса к шпионской деятельности, Earth Lusca, похоже, имеет финансовую мотивацию, нацелившись на компании, занимающиеся азартными играми и криптовалютами.