Yaponiyaning kiberxavfsizlik masalalariga ixtisoslashgan Trend Micro kompaniyasi mutaxassislari Linux tizimlari oilasida ishlovchi mashinalarga hujum qilishda foydalaniladigan zararli SprySOCKS dasturini aniqladi.
Yangi zararli dastur Windows orqa eshiklari Trochilusdan keladi, kashf etilgan 2015 yilda Arbor Networks kompaniyasi tadqiqotchilari tomonidan u faqat xotirada ishga tushiriladi va bajariladi va uning foydali yuki disklarda saqlanmaydi, bu esa aniqlashni sezilarli darajada qiyinlashtiradi. Joriy yilning iyun oyida Trend Micro tadqiqotchilari 2 yildan buyon faoliyatini kuzatib kelayotgan guruh tomonidan foydalaniladigan serverda “libmonitor.so.2021” nomli faylni topdilar. VirusTotal ma'lumotlar bazasida ular "libmonitor.so.2" shifrini ochish va uning foydali yukini ochishga yordam beradigan "mkmon" bilan bog'liq bajariladigan faylni topdilar.
Ma'lum bo'lishicha, bu Linux uchun murakkab zararli dastur bo'lib, uning funksionalligi qisman Trochilus imkoniyatlariga to'g'ri keladi va Socket Secure (SOCKS) protokolining original ilovasiga ega, shuning uchun zararli dasturga SprySOCKS nomi berilgan. U tizim haqida maʼlumot toʻplash, masofadan boshqarish buyruq interfeysini (qobiq) ishga tushirish, tarmoq ulanishlari roʻyxatini shakllantirish, buzilgan tizim va tajovuzkorning buyruq serveri oʻrtasida maʼlumot almashish uchun SOCKS protokoli asosida proksi-serverni oʻrnatish va boshqa operatsiyalarni bajarish. Zararli dasturiy ta'minot versiyalarini ko'rsatish uning hali ishlab chiqilayotganidan dalolat beradi.
Tadqiqotchilar SprySOCKS-dan Earth Lusca guruhi xakerlari foydalanishini taxmin qilmoqdalar - u birinchi marta 2021 yilda kashf etilgan va u bir yildan so'ng kiberjinoyatchilar ro'yxatida paydo bo'lgan. Guruh tizimlarni yuqtirish uchun ijtimoiy muhandislik usullaridan foydalanadi. SprySOCKS Cobalt Strike va Winnti paketlarini foydali yuk sifatida o'rnatadi. Birinchisi, zaifliklarni topish va ulardan foydalanish uchun to'plam; o'n yildan ortiq bo'lgan ikkinchisi Xitoy hukumati bilan bog'lanadi. Asosan Osiyo maqsadlari bilan ishlaydigan Earth Lusca guruhi mablag'larni o'zlashtirishni maqsad qilgan versiya mavjud, chunki uning qurbonlari ko'pincha qimor va kriptovalyuta kompaniyalari hisoblanadi.
Shuningdek o'qing:
- Microsoft kiberxavfsizlikka "qo'pol e'tiborsizlik"da ayblangan
- Xakerlar eng zamonaviy astronomik rasadxonalardan birini o'chirib qo'yishdi