Дослідники виявили небачений раніше бекдор для Linux, який використовується зловмисниками, пов’язаними з китайським урядом.
Він походить від бекдору для Windows під назвою Trochilus, який вперше був виявлений у 2015 році дослідниками з Arbor Networks, нині відомої як Netscout, передає ArsTechnica. Дослідники з британської компанії NHS Digital стверджують, що Trochilus був розроблений групою APT10, пов’язаною з китайським урядом, також відомою під назвами Stone Panda і MenuPass.
Згодом його використовували інші групи, а його вихідний код вже понад шість років доступний на GitHub. Trochilus був помічений у кампаніях, які використовували окрему частину шкідливого програмного забезпечення, відому як RedLeaves.
У червні дослідники з компанії Trend Micro виявили зашифрований двійковий файл на сервері, який використовувався групою, за якою вони стежили з 2021 року. Провівши пошук у VirusTotal за назвою файлу libmonitor.so.2, дослідники знайшли виконуваний файл Linux під назвою mkmon. Він містив облікові дані, за допомогою яких розшифрували файл libmonitor.so.2, що дало змогу дослідникам зробити висновок, що mkmon — це інсталяційний файл libmonitor.so.2.
Шкідливе програмне забезпечення для Linux портувало кілька функцій, знайдених в Trochilus, і об’єднало їх з новою реалізацією Socket Secure (SOCKS). Дослідники Trend Micro назвали своє відкриття SprySOCKS, де spry означає швидку поведінку.
SprySOCKS реалізує звичайні можливості бекдору, включаючи збір системної інформації, відкриття інтерактивної віддаленої оболонки для управління скомпрометованими системами, створення списку мережевих з’єднань і створення проксі-сервера на основі протоколу SOCKS для завантаження файлів та інших даних між скомпрометованою системою і підконтрольним зловмиснику командним сервером.
Trend Micro пов’язує SprySOCKS із суб’єктом загрози Earth Lusca. Дослідники виявили групу в 2021 році. Earth Lusca націлена на організації по всьому світу, в першу чергу на уряди країн Азії. Вона використовує соціальну інженерію, щоб заманювати жертв на сайти-«водопої», де їх заражають шкідливим програмним забезпеченням. Окрім інтересу до шпигунської діяльності, Earth Lusca, схоже, має фінансову мотивацію, націлившись на компанії, що займаються азартними іграми та криптовалютами.