ผู้เชี่ยวชาญจากบริษัทญี่ปุ่น Trend Micro ซึ่งเชี่ยวชาญด้านปัญหาความปลอดภัยทางไซเบอร์ ค้นพบโปรแกรมที่เป็นอันตราย SprySOCKS ซึ่งใช้เพื่อโจมตีเครื่องที่ใช้ระบบตระกูล Linux
มัลแวร์ตัวใหม่นี้มาจาก Trochilus แบ็คดอร์ของ Windows ค้นพบ ในปี 2015 โดยนักวิจัยจากบริษัท Arbor Networks ได้มีการเปิดตัวและดำเนินการในหน่วยความจำเท่านั้น และเพย์โหลดจะไม่ถูกจัดเก็บไว้ในดิสก์ ซึ่งทำให้การตรวจจับมีความซับซ้อนอย่างมาก ในเดือนมิถุนายนของปีนี้ นักวิจัยของ Trend Micro ค้นพบไฟล์ชื่อ “libmonitor.so.2” บนเซิร์ฟเวอร์ที่ใช้โดยกลุ่มซึ่งมีกิจกรรมที่พวกเขาติดตามมาตั้งแต่ปี 2021 ในฐานข้อมูล VirusTotal พวกเขาค้นพบไฟล์ปฏิบัติการที่เกี่ยวข้อง “mkmon” ซึ่งช่วยถอดรหัส “libmonitor.so.2” และเปิดเผยเพย์โหลดของมัน
ปรากฎว่านี่เป็นโปรแกรมที่เป็นอันตรายที่ซับซ้อนสำหรับ Linux ซึ่งมีฟังก์ชันการทำงานบางส่วนเกิดขึ้นพร้อมกับความสามารถของ Trochilus และมีการใช้งานโปรโตคอล Socket Secure (SOCKS) ดั้งเดิม ดังนั้นมัลแวร์จึงได้รับชื่อ SprySOCKS ช่วยให้คุณสามารถรวบรวมข้อมูลเกี่ยวกับระบบ เรียกใช้อินเทอร์เฟซคำสั่งการจัดการระยะไกล (เชลล์) สร้างรายการการเชื่อมต่อเครือข่าย ปรับใช้พร็อกซีเซิร์ฟเวอร์ตามโปรโตคอล SOCKS เพื่อแลกเปลี่ยนข้อมูลระหว่างระบบที่ถูกบุกรุกและเซิร์ฟเวอร์คำสั่งของผู้โจมตี และ ดำเนินการอื่น ๆ การระบุเวอร์ชันของมัลแวร์บ่งบอกว่ายังอยู่ระหว่างการพัฒนา
นักวิจัยแนะนำว่าแฮกเกอร์จากกลุ่ม Earth Lusca ใช้ SprySOCKS ซึ่งถูกค้นพบครั้งแรกในปี 2021 และปรากฏในรายชื่ออาชญากรไซเบอร์ในอีกหนึ่งปีต่อมา กลุ่มนี้ใช้วิธีการวิศวกรรมสังคมเพื่อแพร่เชื้อในระบบ SprySOCKS ติดตั้งแพ็คเกจ Cobalt Strike และ Winnti เป็นเพย์โหลด ชุดแรกคือชุดอุปกรณ์สำหรับค้นหาและใช้ประโยชน์จากช่องโหว่ ครั้งที่สองซึ่งมีอายุมากกว่าสิบปีติดต่อกับทางการจีน มีเวอร์ชันหนึ่งที่กลุ่ม Earth Lusca ซึ่งทำงานโดยมีเป้าหมายในเอเชียเป็นหลัก มีเป้าหมายที่จะยักยอกเงิน เนื่องจากผู้ที่ตกเป็นเหยื่อมักเป็นบริษัทที่เกี่ยวข้องกับการพนันและสกุลเงินดิจิทัล
อ่าน:
- Microsoft ถูกกล่าวหาว่าเป็น "การละเลยอย่างชัดแจ้ง" ต่อความปลอดภัยทางไซเบอร์
- แฮกเกอร์ปิดการใช้งานหอดูดาวทางดาราศาสตร์ที่ทันสมัยที่สุดแห่งหนึ่ง