Киберкоопсуздук маселелери боюнча адистешкен жапониялык Trend Micro компаниясынын эксперттери Linux системаларынын үй-бүлөсүн башкарган машиналарга чабуул жасоо үчүн колдонулган SprySOCKS зыяндуу программасын табышты.
Жаңы кесепеттүү программа Windows'тун Trochilus арткы терезесинен келет, ачылган 2015-жылы Arbor Networks компаниясынын изилдөөчүлөрү тарабынан, ал ишке киргизилет жана эстутумда гана аткарылат, ал эми анын пайдалуу жүгү дисктерде сакталбайт, бул аныктоону бир топ кыйындатат. Үстүбүздөгү жылдын июнь айында Trend Micro изилдөөчүлөрү 2-жылдан бери ишмердүүлүгүн көзөмөлдөп келген топ колдонгон серверден “libmonitor.so.2021” деп аталган файлды табышкан. VirusTotal маалымат базасында алар "libmonitor.so.2" шифрин чечүүгө жана анын пайдалуу жүгүн ачууга жардам берген "mkmon" менен байланышкан аткарылуучу файлды табышты.
Бул Linux үчүн татаал зыяндуу программа экени, анын функционалдуулугу Trochilusтун мүмкүнчүлүктөрүнө жарым-жартылай дал келген жана Socket Secure (SOCKS) протоколунун оригиналдуу ишке ашырылышы бар экени белгилүү болду, ошондуктан зыяндуу программага SprySOCKS деген ат берилген. Ал система жөнүндө маалыматты чогултууга, алыстан башкаруу командалык интерфейсин (кабыгын) ишке киргизүүгө, тармактык байланыштардын тизмесин түзүүгө, бузулган система менен чабуулчунун командалык серверинин ортосунда маалымат алмашуу үчүн SOCKS протоколунун негизинде прокси серверди жайылтууга жана башка операцияларды аткаруу. Кесепеттүү программанын версияларын көрсөтүү ал дагы эле иштеп чыгууда экенин көрсөтүп турат.
Окумуштуулар SprySOCKSди Earth Lusca тобунун хакерлери колдонушат деп болжолдошууда - ал биринчи жолу 2021-жылы ачылган жана ал киберкылмышкерлердин тизмесине бир жылдан кийин кирген. Топ системаларды жугузуу үчүн социалдык инженерия ыкмаларын колдонот. SprySOCKS Cobalt Strike жана Winnti пакеттерин пайдалуу жүк катары орнотот. Биринчиси – алсыздыктарды табуу жана пайдалануу үчүн комплект; он жылдан ашкан экинчиси Кытайдын бийликтери менен байланышат. Анын курмандыктары көбүнчө кумар оюндарына жана криптовалюталар менен алектенген компаниялар болгондуктан, негизинен азиялык максаттар менен иштеген Earth Lusca тобу каражаттарды уурдоону көздөйт деген версия бар.
Ошондой эле окуңуз:
- Microsoft киберкоопсуздукка "көп кайдыгерлик" менен айыпталган
- Хакерлер эң заманбап астрономиялык обсерваториялардын бирин иштен чыгарышкан