Los investigadores han descubierto una puerta trasera nunca antes vista para Linux que está siendo utilizada por un actor de amenazas vinculado al gobierno chino.
La nueva puerta trasera se origina a partir de una puerta trasera de Windows llamada Trochilus, que fue vista por primera vez en 2015 por investigadores de Arbor Networks, ahora conocida como Netscout. Dijeron que Trochilus se ejecutó y se ejecutó sólo en la memoria, y que la carga útil final nunca apareció en los discos en la mayoría de los casos. Eso hizo que el malware fuera difícil de detectar. Investigadores de NHS Digital en el Reino Unido han dicho que Trochilus fue desarrollado por APT10, un grupo de amenazas persistentes avanzadas vinculado al gobierno chino que también se conoce con los nombres Stone Panda y MenuPass.
Otros grupos finalmente lo utilizaron y su código fuente ha estado disponible en GitHub durante más de seis años. Se ha visto que Trochilus se utiliza en campañas que utilizaban una pieza separada de malware conocida como RedLeaves.
En junio, investigadores de la firma de seguridad Trend Micro encontraron un archivo binario cifrado en un servidor que se sabe que utiliza un grupo al que habían estado rastreando desde 2021. Al buscar en VirusTotal el nombre del archivo, libmonitor.so.2, los investigadores localizaron un archivo ejecutable de Linux llamado «mkmon». Este ejecutable contenía credenciales que podrían usarse para descifrar el archivo libmonitor.so.2 y recuperar su carga útil original, lo que llevó a los investigadores a concluir que «mkmon» es un archivo de instalación que entregó y descifró libmonitor.so.2.
El malware de Linux portó varias funciones encontradas en Trochilus y las combinó con una nueva implementación de Socket Secure (SOCKS). Los investigadores de Trend Micro finalmente llamaron a su descubrimiento SprySOCKS, donde «spry» denota su rápido comportamiento y el componente SOCKS añadido.
SprySOCKS implementa las capacidades habituales de puerta trasera, incluida la recopilación de información del sistema, la apertura de un shell remoto interactivo para controlar los sistemas comprometidos, la lista de conexiones de red y la creación de un proxy basado en el protocolo SOCKS para cargar archivos y otros datos entre el sistema comprometido y el controlado por el atacante. servidor de comando. La siguiente tabla muestra algunas de las capacidades:
| ID de mensaje | Notas |
|---|---|
| 0x09 | Obtiene información de la máquina |
| 0x0a | Inicia el shell interactivo |
| 0x0b | Escribe datos en el shell interactivo. |
| 0x0d | Detiene el shell interactivo |
| 0x0e | Enumera las conexiones de red (parámetros: “ip”, “puerto”, “commName”, “connectType”) |
| 0x0f | Envía paquete (parámetro: “destino”) |
| 0x14, 0x19 | Envía paquete de inicialización |
| 0x16 | Genera y establece clientid |
| 0x17 | Lista las conexiones de red (parámetros: “tcp_port”, “udp_port”, “http_port”, “listen_type”, “listen_port”) |
| 0x23 | Crea proxy SOCKS |
| 0x24 | Termina el proxy SOCKS |
| 0x25 | Reenvía datos proxy SOCKS |
| 0x2a | Sube el archivo (parámetros: “transfer_id”, “size”) |
| 0x2b | Obtiene ID de transferencia de archivos |
| 0x2c | Descarga el archivo (parámetros: “state”, “transferId”, “packageId”, “packageCount”, “file_size”) |
| 0x2d | Obtiene el estado de la transferencia (parámetros: «estado», «transferId», «resultado», «packageId») |
| 0x3c | Enumera archivos en raíz / |
| 0x3d | Enumera archivos en el directorio |
| 0x3e | Elimina el archivo |
| 0x3f | Crea directorio |
| 0x40 | Cambia el nombre del archivo |
| 0x41 | No operacion |
| 0x42 | Está relacionado con las operaciones 0x3c – 0x40 (srcPath, destPath) |
Después de descifrar el binario y encontrar SprySOCKS, los investigadores utilizaron la información que encontraron para buscar en VirusTotal archivos relacionados. Su búsqueda arrojó una versión del malware con el número de versión 1.1. La versión que encontró Trend Micro fue la 1.3.6. Las múltiples versiones sugieren que la puerta trasera está actualmente en desarrollo.
El servidor de comando y control al que se conecta SprySOCKS tiene grandes similitudes con un servidor que se utilizó en una campaña con una pieza diferente de malware de Windows conocida como RedLeaves. Al igual que SprySOCKS, RedLeaves también se basó en Trochilus. Las cadenas que aparecen tanto en Trochilus como en RedLeaves también aparecen en el componente SOCKS que se agregó a SprySOCKS. El código SOCKS se tomó prestado de HP-Socket, un marco de red de alto rendimiento de origen chino.
Trend Micro atribuye SprySOCKS a un actor de amenazas al que ha denominado Earth Lusca. Los investigadores descubrieron al grupo en 2021 y lo documentaron al año siguiente. Earth Lusca se dirige a organizaciones de todo el mundo, principalmente a gobiernos de Asia. Utiliza ingeniería social para atraer objetivos a sitios de abrevadero donde los objetivos están infectados con malware. Además de mostrar interés en actividades de espionaje, Earth Lusca parece motivado financieramente, con la mira puesta en empresas de juegos de azar y criptomonedas.
El mismo servidor Earth Lusca que alojaba SprySOCKS también entregó las cargas útiles conocidas como Cobalt Strike y Winnti. Cobalt Strike es una herramienta de piratería utilizada tanto por profesionales de la seguridad como por actores de amenazas. Proporciona un conjunto completo de herramientas para encontrar y explotar vulnerabilidades. Earth Lusca lo estaba utilizando para ampliar su acceso después de conseguir un punto de apoyo inicial dentro de un entorno específico. Mientras tanto, Winnti es el nombre de un conjunto de malware que se ha utilizado durante más de una década y también el identificador de una serie de distintos grupos de amenazas, todos conectados al aparato de inteligencia del gobierno chino, que ha estado entre los los sindicatos de hackers más prolíficos del mundo.
El informe de Trend Micro del lunes proporciona direcciones IP, hashes de archivos y otras pruebas que las personas pueden utilizar para determinar si han sido comprometidos. Earth Lusca generalmente infecta sistemas utilizando vulnerabilidades recientemente reparadas, a menudo denominadas n-days. La aplicación oportuna de parches es la mejor defensa. El informe del lunes no proporcionó detalles adicionales sobre la prevención o eliminación del malware.