Des chercheurs ont découvert une porte dérobée inédite pour Linux, utilisée par un acteur malveillant lié au gouvernement chinois.
La nouvelle porte dérobée provient d’une porte dérobée Windows nommée Trochilus, qui a été vue pour la première fois en 2015 par des chercheurs d’Arbor Networks, désormais connu sous le nom de Netscout. Ils ont déclaré que Trochilus s’exécutait et s’exécutait uniquement en mémoire et que la charge utile finale n’apparaissait jamais sur les disques dans la plupart des cas. Cela rendait le malware difficile à détecter. Des chercheurs du NHS Digital au Royaume-Uni ont déclaré que Trochilus avait été développé par APT10, un groupe de menaces persistantes avancées lié au gouvernement chinois qui porte également les noms de Stone Panda et MenuPass.
D’autres groupes l’ont finalement utilisé et son code source est disponible sur GitHub depuis plus de six ans. Trochilus a été utilisé dans des campagnes utilisant un logiciel malveillant distinct appelé RedLeaves.
En juin, des chercheurs de la société de sécurité Trend Micro ont trouvé un fichier binaire crypté sur un serveur connu pour être utilisé par un groupe qu’ils suivaient depuis 2021. En recherchant dans VirusTotal le nom du fichier, libmonitor.so.2, les chercheurs ont localisé un fichier Linux exécutable nommé « mkmon ». Cet exécutable contenait des informations d’identification qui pourraient être utilisées pour décrypter le fichier libmonitor.so.2 et récupérer sa charge utile d’origine, ce qui a conduit les chercheurs à conclure que « mkmon » est un fichier d’installation qui a livré et décrypté libmonitor.so.2.
Le malware Linux a porté plusieurs fonctions trouvées dans Trochilus et les a combinées avec une nouvelle implémentation Socket Secure (SOCKS). Les chercheurs de Trend Micro ont finalement nommé leur découverte SprySOCKS, « spry » désignant son comportement rapide et le composant SOCKS ajouté.
SprySOCKS implémente les fonctionnalités habituelles de porte dérobée, notamment la collecte d’informations sur le système, l’ouverture d’un shell distant interactif pour contrôler les systèmes compromis, la liste des connexions réseau et la création d’un proxy basé sur le protocole SOCKS pour télécharger des fichiers et d’autres données entre le système compromis et le système contrôlé par l’attaquant. serveur de commande. Le tableau suivant présente certaines des fonctionnalités :
| ID du message | Remarques |
|---|---|
| 0x09 | Obtient des informations sur la machine |
| 0x0a | Démarre le shell interactif |
| 0x0b | Écrit des données dans un shell interactif |
| 0x0d | Arrête le shell interactif |
| 0x0e | Répertorie les connexions réseau (paramètres : « ip », « port », « commName », « connectType ») |
| 0x0f | Envoie le paquet (paramètre : « cible ») |
| 0x14, 0x19 | Envoie le paquet d’initialisation |
| 0x16 | Génère et définit l’ID client |
| 0x17 | Liste les connexions réseau (paramètres : « tcp_port », « udp_port », « http_port », « listen_type », « listen_port ») |
| 0x23 | Crée un proxy SOCKS |
| 0x24 | Termine le proxy SOCKS |
| 0x25 | Transfère les données du proxy SOCKS |
| 0x2a | Fichier de téléchargement (paramètres : « transfer_id », « size ») |
| 0x2b | Obtient l’ID de transfert de fichiers |
| 0x2c | Fichier de téléchargements (paramètres : « state », « transferId », « packageId », « packageCount », « file_size ») |
| 0x2d | Obtient l’état du transfert (paramètres : « state », « transferId », « result », « packageId ») |
| 0x3c | Énumère les fichiers à la racine / |
| 0x3d | Énumère les fichiers dans le répertoire |
| 0x3e | Supprime le fichier |
| 0x3f | Crée un répertoire |
| 0x40 | Renomme le fichier |
| 0x41 | Pas d’opération |
| 0x42 | Est lié aux opérations 0x3c – 0x40 (srcPath, destPath) |
Après avoir déchiffré le binaire et trouvé SprySOCKS, les chercheurs ont utilisé les informations trouvées pour rechercher dans VirusTotal les fichiers associés. Leur recherche a révélé une version du malware portant le numéro de version 1.1. La version trouvée par Trend Micro était 1.3.6. Les multiples versions suggèrent que la porte dérobée est actuellement en cours de développement.
Le serveur de commande et de contrôle auquel SprySOCKS se connecte présente des similitudes majeures avec un serveur utilisé dans une campagne avec un autre malware Windows connu sous le nom de RedLeaves. Comme SprySOCKS, RedLeaves était également basé sur Trochilus. Les chaînes qui apparaissent à la fois dans Trochilus et RedLeaves apparaissent également dans le composant SOCKS ajouté à SprySOCKS. Le code SOCKS a été emprunté à HP-Socket, un framework réseau haute performance d’origine chinoise.
Trend Micro attribue SprySOCKS à un acteur menaçant qu’il a surnommé Earth Lusca. Les chercheurs ont découvert le groupe en 2021 et l’ont documenté l’année suivante. Earth Lusca cible les organisations du monde entier, principalement les gouvernements d’Asie. Il utilise l’ingénierie sociale pour attirer les cibles vers des sites où les cibles sont infectées par des logiciels malveillants. En plus de s’intéresser aux activités d’espionnage, Earth Lusca semble motivé par des considérations financières et vise les sociétés de jeux de hasard et de crypto-monnaie.
Le même serveur Earth Lusca qui hébergeait SprySOCKS a également fourni les charges utiles connues sous le nom de Cobalt Strike et Winnti. Cobalt Strike est un outil de piratage utilisé aussi bien par les professionnels de la sécurité que par les acteurs malveillants. Il fournit une suite complète d’outils pour rechercher et exploiter les vulnérabilités. Earth Lusca l’utilisait pour étendre son accès après avoir fait un premier pas dans un environnement ciblé. Winnti, quant à lui, est le nom à la fois d’une suite de logiciels malveillants utilisés depuis plus d’une décennie et de l’identifiant d’une multitude de groupes de menaces distincts, tous connectés à l’appareil de renseignement du gouvernement chinois, qui compte parmi les plus importants. les syndicats de hackers les plus prolifiques au monde.
Le rapport Trend Micro de lundi fournit des adresses IP, des hachages de fichiers et d’autres preuves que les utilisateurs peuvent utiliser pour déterminer s’ils ont été compromis. Earth Lusca infecte généralement les systèmes en utilisant des vulnérabilités récemment corrigées, souvent appelées n-days. L’application de correctifs en temps opportun constitue la meilleure défense. Le rapport de lundi ne fournissait aucun détail supplémentaire sur la prévention ou la suppression du logiciel malveillant.