Yaponiyanın kibertəhlükəsizlik məsələləri üzrə ixtisaslaşmış Trend Micro şirkətinin mütəxəssisləri Linux sistemlər ailəsi ilə işləyən maşınlara hücum etmək üçün istifadə edilən zərərli SprySOCKS proqramını aşkar ediblər.
Yeni zərərli proqram Windows arxa qapısı Trochilus-dan gəlir, kəşf etdi 2015-ci ildə Arbor Networks şirkətinin tədqiqatçıları tərəfindən o, yalnız yaddaşda işə salınır və icra edilir və onun faydalı yükü disklərdə saxlanmır, bu da aşkarlanmağı xeyli çətinləşdirir. Bu ilin iyun ayında Trend Micro tədqiqatçıları 2-ci ildən fəaliyyətinə nəzarət etdikləri qrup tərəfindən istifadə edilən serverdə “libmonitor.so.2021” adlı fayl aşkar ediblər. VirusTotal verilənlər bazasında onlar “libmonitor.so.2” faylının şifrəsini açmağa və onun faydalı yükünü aşkar etməyə kömək edən əlaqəli “mkmon” icra edilə bilən faylını aşkar etdilər.
Məlum oldu ki, bu, Linux üçün mürəkkəb zərərli proqramdır, funksionallığı qismən Trochilus-un imkanları ilə üst-üstə düşür və Socket Secure (SOCKS) protokolunun orijinal tətbiqinə malikdir, ona görə də zərərli proqrama SprySOCKS adı verilib. O, sistem haqqında məlumat toplamağa, uzaqdan idarəetmə komanda interfeysini (qabığı) işə salmağa, şəbəkə əlaqələrinin siyahısını formalaşdırmağa, təhlükəyə məruz qalmış sistemlə təcavüzkarın komanda serveri arasında məlumat mübadiləsi üçün SOCKS protokolu əsasında proksi serveri yerləşdirməyə imkan verir. digər əməliyyatları yerinə yetirmək. Zərərli proqramın versiyalarının dəqiqləşdirilməsi onun hələ də inkişaf mərhələsində olduğunu göstərir.
Tədqiqatçılar SprySOCKS-dan Earth Lusca qrupunun hakerləri tərəfindən istifadə edildiyini təklif edirlər - o, ilk dəfə 2021-ci ildə aşkar edilib və bir il sonra kibercinayətkarlar siyahısında peyda olub. Qrup sistemləri yoluxdurmaq üçün sosial mühəndislik üsullarından istifadə edir. SprySOCKS Cobalt Strike və Winnti paketlərini faydalı yük kimi quraşdırır. Birincisi, zəiflikləri tapmaq və istismar etmək üçün dəstdir; on ildən artıq olan ikincisi Çin hakimiyyəti ilə əlaqə saxlayır. Əsasən Asiya hədəfləri ilə işləyən Earth Lusca qrupunun vəsaitləri mənimsəmək məqsədi güdən versiya var, çünki onun qurbanları çox vaxt qumar oyunları və kriptovalyutalarla məşğul olan şirkətlər olur.
Həmçinin oxuyun:
- Microsoft kibertəhlükəsizliyə “açıq-aşkar etinasızlıq”da ittiham edilib
- Hakerlər ən müasir astronomik rəsədxanalardan birini sıradan çıxarıblar