Tác nhân đe dọa có liên quan đến Trung Quốc có tên Earth Lusca đã được quan sát thấy nhắm mục tiêu vào các thực thể chính phủ bằng cách sử dụng một cửa hậu Linux chưa từng thấy trước đây có tên là SprySOCKS.
Earth Lusca lần đầu tiên được Trend Micro ghi lại vào tháng 1 năm 2022, nêu chi tiết các cuộc tấn công của kẻ thù nhằm vào các thực thể khu vực công và tư nhân trên khắp Châu Á, Úc, Châu Âu, Bắc Mỹ.
Hoạt động từ năm 2021, nhóm này đã dựa vào các cuộc tấn công lừa đảo bằng giáo và lỗ tưới nước để thực hiện các kế hoạch gián điệp mạng của mình. Một số hoạt động của nhóm trùng lặp với một cụm mối đe dọa khác được Recorded Future theo dõi dưới tên RedHotel .
Những phát hiện mới nhất từ công ty an ninh mạng cho thấy Earth Lusca tiếp tục là một nhóm hoạt động tích cực, thậm chí còn mở rộng hoạt động sang các tổ chức mục tiêu trên toàn thế giới trong nửa đầu năm 2023.
Mục tiêu chính bao gồm các cơ quan chính phủ có liên quan đến đối ngoại, công nghệ và viễn thông. Các cuộc tấn công tập trung ở Đông Nam Á, Trung Á và vùng Balkan.
Chuỗi lây nhiễm bắt đầu bằng việc khai thác các lỗ hổng bảo mật đã biết trong Fortinet công khai (CVE-2022-39952 và CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE -2019-18935) và các máy chủ Zimbra (CVE-2019-9621 và CVE-2019-9670) để thả web shell và cung cấp Cobalt Strike để di chuyển theo chiều ngang.
Các nhà nghiên cứu bảo mật Joseph C. Chen và Jaromir Horejsi cho biết : “Nhóm này có ý định lọc các tài liệu và thông tin xác thực tài khoản email, cũng như triển khai thêm các cửa hậu nâng cao như ShadowPad và phiên bản Linux của Winnti để tiến hành các hoạt động gián điệp lâu dài chống lại các mục tiêu của nó”. .
Máy chủ được sử dụng để cung cấp Cobalt Strike và Winnti cũng được phát hiện là lưu trữ SprySOCKS, có nguồn gốc từ cửa hậu mã nguồn mở Trochilus của Windows . Điều đáng chú ý là việc sử dụng Trochilus trước đây có liên quan đến một nhóm hacker Trung Quốc có tên Webworm .
Được tải bằng một biến thể của thành phần bộ tiêm ELF được gọi là hàm dưới , SprySOCKS được trang bị để thu thập thông tin hệ thống, khởi động trình bao tương tác, tạo và chấm dứt proxy SOCKS cũng như thực hiện các thao tác tệp và thư mục khác nhau.
Giao tiếp lệnh và điều khiển (C2) bao gồm các gói được gửi qua giao thức Giao thức điều khiển truyền (TCP), phản ánh cấu trúc được sử dụng bởi một trojan dựa trên Windows có tên là RedLeaves , bản thân nó được cho là được xây dựng dựa trên Trochilus.
Cho đến nay, ít nhất hai mẫu SprySOCKS khác nhau (phiên bản 1.1 và 1.3.6) đã được xác định, cho thấy phần mềm độc hại này đang được những kẻ tấn công liên tục sửa đổi để thêm các tính năng mới.
Các nhà nghiên cứu cho biết: “Điều quan trọng là các tổ chức phải chủ động quản lý bề mặt tấn công của mình, giảm thiểu các điểm xâm nhập tiềm năng vào hệ thống của họ và giảm khả năng vi phạm thành công”.
“Các doanh nghiệp nên thường xuyên áp dụng các bản vá và cập nhật các công cụ, phần mềm và hệ thống của mình để đảm bảo tính bảo mật, chức năng và hiệu suất tổng thể của mình”.