O grupo de ameaças vinculado à China, conhecido como Earth Lusca, tem sido observado atacando entidades governamentais usando um backdoor Linux nunca antes visto chamado SprySOCKS.
O Earth Lusca foi documentado pela primeira vez pela Trend Micro em janeiro de 2022, detalhando os ataques do adversário contra entidades dos setores público e privado em toda a Ásia, Austrália, Europa e América do Norte.
Ativo desde 2021, o grupo tem se baseado em ataques de spear-phishing e watering hole para realizar seus esquemas de espionagem cibernética.
Algumas atividades do grupo se sobrepõem com outro cluster de ameaças rastreado pela Recorded Future sob o nome RedHotel.
As últimas descobertas da empresa de segurança cibernética mostram que o Earth Lusca continua sendo um grupo ativo, expandindo suas operações para atingir organizações em todo o mundo durante o primeiro semestre de 2023.
Os principais alvos incluem departamentos governamentais que estão envolvidos em assuntos internacionais, tecnologia e telecomunicações.
Os ataques concentram-se no sudeste da Ásia, na Ásia Central e nos Balcãs.
As sequências de infecção começam com a exploração de falhas de segurança conhecidas em servidores Fortinet (
CVE-2022-39952
e
CVE-2022-40684
), GitLab (
CVE-2021-22205
), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (
CVE-2019-18935
) e Zimbra (
CVE-2019-9621
e
CVE-2019-9670
) de frente pública para despejar web shells e entregar o Cobalt Strike para movimentação lateral.
"O grupo pretende exfiltrar documentos e credenciais de conta de e-mail, além de implantar backdoors avançados como o ShadowPad e a versão Linux do Winnti para conduzir atividades de espionagem de longo prazo contra seus alvos", disseram os pesquisadores de segurança Joseph C.
Chen e Jaromir Horejsi.
Observou-se também que o servidor usado para entregar o Cobalt Strike e o Winnti hospeda o SprySOCKS, que tem suas raízes no backdoor do Windows de código aberto chamado Trochilus.
Vale ressaltar que o uso do Trochilus foi relacionado a uma equipe de hackers chinesa chamada Webworm no passado.
Carregado por meio de uma variante de um componente injetor ELF conhecido como mandíbula, o SprySOCKS está equipado para coletar informações do sistema, iniciar um shell interativo, criar e terminar o proxy SOCKS e realizar várias operações de arquivo e diretório.
A comunicação de comando e controle (C2) consiste em pacotes enviados via protocolo Transmission Control Protocol (TCP), espelhando uma estrutura usada por um trojan baseado em Windows conhecido como RedLeaves, que se diz ser construído com base no Trochilus.
Pelo menos duas diferentes amostras de SprySOCKS (versões 1.1 e 1.3.6) foram identificadas até o momento, sugerindo que o malware está sendo constantemente modificado pelos invasores para adicionar novos recursos.
"É importante que as organizações gerenciem proativamente sua superfície de ataque, minimizando os potenciais pontos de entrada em seu sistema e reduzindo a probabilidade de uma violação bem-sucedida", disseram os pesquisadores.
"As empresas devem aplicar regularmente patches e atualizar suas ferramentas, software e sistemas para garantir sua segurança, funcionalidade e desempenho geral."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...