Se ha observado que el actor de amenazas vinculado a China conocido como Earth Lusca apunta a entidades gubernamentales utilizando una puerta trasera de Linux nunca antes vista llamada SprySOCKS.
Earth Lusca fue documentado por primera vez por Trend Micro en enero de 2022, y detalla los ataques del adversario contra entidades del sector público y privado en Asia, Australia, Europa y América del Norte.
Activo desde 2021, el grupo se ha basado en ataques de phishing para llevar a cabo sus esquemas de ciberespionaje. Algunas actividades del grupo se superponen con otro grupo de amenazas rastreado por Recorded Future bajo el nombre RedHotel .
Los últimos hallazgos de la firma de ciberseguridad muestran que Earth Lusca continúa siendo un grupo activo, incluso ampliando sus operaciones para apuntar a organizaciones de todo el mundo durante la primera mitad de 2023.
Los objetivos principales incluyen departamentos gubernamentales involucrados en asuntos exteriores, tecnología y telecomunicaciones. Los ataques se concentran en el sudeste asiático, Asia central y los Balcanes.
Las secuencias de infección comienzan con la explotación de fallas de seguridad conocidas en Fortinet público (CVE-2022-39952 y CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE). -2019-18935) y servidores Zimbra (CVE-2019-9621 y CVE-2019-9670) para soltar proyectiles web y entregar Cobalt Strike para movimiento lateral.
«El grupo tiene la intención de exfiltrar documentos y credenciales de cuentas de correo electrónico, así como implementar puertas traseras avanzadas como ShadowPad y la versión Linux de Winnti para llevar a cabo actividades de espionaje a largo plazo contra sus objetivos», dijeron los investigadores de seguridad Joseph C. Chen y Jaromir Horejsi. .
También se ha observado que el servidor utilizado para entregar Cobalt Strike y Winnti aloja SprySOCKS, que tiene sus raíces en la puerta trasera de código abierto de Windows, Trochilus . Vale la pena señalar que el uso de Trochilus se ha relacionado en el pasado con un grupo de hackers chinos llamado Webworm .
Cargado mediante una variante de un componente de inyector ELF conocido como mandibule , SprySOCKS está equipado para recopilar información del sistema, iniciar un shell interactivo, crear y finalizar el proxy SOCKS y realizar diversas operaciones de archivos y directorios.
La comunicación de comando y control (C2) consiste en paquetes enviados a través del protocolo TCP (Transmission Control Protocol), que refleja una estructura utilizada por un troyano basado en Windows denominado RedLeaves , que se dice que está construido sobre Trochilus.
Hasta la fecha se han identificado al menos dos muestras diferentes de SprySOCKS (versiones 1.1 y 1.3.6), lo que sugiere que los atacantes modifican continuamente el malware para agregar nuevas funciones.
«Es importante que las organizaciones gestionen proactivamente su superficie de ataque, minimizando los posibles puntos de entrada a su sistema y reduciendo la probabilidad de una infracción exitosa», dijeron los investigadores.
«Las empresas deben aplicar parches periódicamente y actualizar sus herramientas, software y sistemas para garantizar su seguridad, funcionalidad y rendimiento general».
Fuente y redacción: thehackernews.com
