SprySOCKS Linux يستهدف الباب الخلفي للكيانات الحكومية. اكتشفت شركة تريند مايكرو (Trend Micro) أن مجموعة القرصنة الإلكترونية المرتبطة بالصين والمعروفة باسم Earth Lusca تستخدم ثغرة أمنية جديدة في نظام التشغيل Linux تدعى SprySOCKS لاستهداف المؤسسات الحكومية.
تم توثيق Earth Lusca لأول مرة من قبل شركة تريند مايكرو في يناير 2022، حيث قامت المجموعة باستهداف كيانات من القطاعين العام والخاص في جميع أنحاء آسيا وأستراليا وأوروبا وأمريكا الشمالية.
منذ عام 2021، اعتمدت المجموعة على هجمات التصيد الاحتيالي وهجمات حفرة الري (watering hole attacks) لتنفيذ مخططات التجسس الإلكتروني الخاصة بها. تتداخل بعض أنشطة المجموعة مع مجموعة تهديد أخرى تتبعها شركة Recorded Future تحت اسم RedHotel.
كما تظهر النتائج الأخيرة من شركة الأمن السيبراني أن Earth Lusca لا تزال مجموعة نشطة، حتى أنها توسعت في عملياتها لاستهداف المنظمات في جميع أنحاء العالم خلال النصف الأول من عام 2023.
ماذا شملت الأهداف الرئيسية.
تشمل الأهداف الرئيسية وزارات حكومية تعمل في مجالات الشؤون الخارجية والتكنولوجيا والاتصالات. تتركز الهجمات في جنوب شرق آسيا وآسيا الوسطى والبلقان.
تبدأ تسلسلات العدوى باستغلال ثغرات أمنية معروفة في الخوادم العامة التي تواجه الإنترنت لـ Fortinet (CVE-2022-39952 و CVE-2022-40684) و GitLab (CVE-2021-22205) و Microsoft Exchange Server (ProxyShell) و Progress Telerik UI (CVE-2019-18935) و Zimbra (CVE-2019-9621 و CVE-2019-9670) لإسقاط قذائف ويب وتوصيل Cobalt Strike للحركة الجانبية.
وقال باحثو الأمن جوزيف تشين (Joseph C. Chen) وجارومير هوريجسي (Jaromir Horejsi): “تعتزم المجموعة سرقة المستندات وبيانات اعتماد حسابات البريد الإلكتروني، وكذلك نشر المزيد من الثغرات الأمنية المتقدمة مثل ShadowPad ونسخة Linux من Winnti لتنفيذ أنشطة تجسس طويلة الأمد ضد أهدافها”.
تم رصد الخادم المستخدم لتوصيل Cobalt Strike و Winnti أيضًا لاستضافة SprySOCKS. والتي تعود جذورها إلى الثغرة الأمنية في نظام التشغيل Windows مفتوحة المصدر Trochilus. تجدر الإشارة إلى أن استخدام Trochilus ربط في الماضي بمجموعة القرصنة الإلكترونية الصينية Webworm.
هل تم تحميل SprySOCKS بواسطة متغير.
يتم تحميل SprySOCKS بواسطة متغير من مكون حاقن ELF يُعرف باسم mandibule. وهو مزود بتجميع معلومات النظام، وبدء تشغيل شل تفاعلي. وإنشاء وإنهاء وكيل SOCKS، وتنفيذ عمليات ملف وديليل مختلفة.
بينما. من المحتمل أن يكون تنفيذ الشل التفاعلي في SprySOCKS مستوحىً من نسخة Linux من الثغرة الأمنية كاملة الميزات التي تحمل اسم Derusbi (المعروفة أيضًا باسم Photo) والتي يُعرف أنها مستخدمة من قبل مجموعات متعددة من أنشطة التهديد الصينية منذ عام 2008 على الأقل.
يتكون اتصال الأمر والتحكم (C2) من حزم يتم إرسالها عبر بروتوكول التحكم في الإرسال (TCP). مما يعكس بنية يستخدمها حصان طروادة المستند إلى نظام التشغيل Windows المشار إليه باسم RedLeaves. والذي يُقال إنه مبني على Trochilus.
كما تم تحديد عينة على الأقل من SprySOCKS (الإصدارين 1.1 و 1.3.6) حتى الآن، مما يوحي بأن المهاجمين يقومون بتعديل البرامج الضارة باستمرار لإضافة ميزات جديدة.
بينما قال الباحثون: “من المهم أن تدير المنظمات سطح هجومها بشكل استباقي. وتقلل من نقاط الدخول المحتملة إلى نظامها وتقلل من احتمال حدوث اختراق ناجح”. “يجب على الشركات تطبيق التصحيحات وتحديث أدواتها وبرامجها وأنظمتها بانتظام لضمان أمانها ووظائفها وأدائها العام”.
التوصيات:
- تأكد من تثبيت أحدث التحديثات الأمنية لجميع أنظمة التشغيل والبرامج والتطبيقات.
- استخدم أدوات الأمان المناسبة لاكتشاف وحماية أنظمةك من البرامج الضارة.
- قم بتدريب الموظفين على كيفية التعرف على هجمات التصيد الاحتيالي وهجمات حفرة الري.
- قم بإنشاء خطة استجابة للحوادث لمعالجة أي اختراق محتمل.
الخلاصة:
تمثل هجمات Earth Lusca تهديدًا خطيرًا للمؤسسات الحكومية في جميع أنحاء العالم. من المهم أن تتبع المنظمات أحدث التطورات في هذه التهديدات وأن تتخذ خطوات لحماية نفسها من الهجمات.
بناء على ذلك فيما يلي بعض النصائح الإضافية التي يمكن للمنظمات اتباعها لتقليل تعرضها للتهديدات من Earth Lusca:
- قم بإنشاء سياسة أمنية قوية تحدد الأدوار والمسؤوليات وإجراءات الأمان.
- قم بتنفيذ مراقبة الشبكة لاكتشاف أي نشاط مشبوه.
- قم بإجراء تدريبات أمنية دورية للموظفين.
في النهاية من خلال اتخاذ هذه الخطوات. يمكن للمنظمات تعزيز دفاعاتها ضد هجمات Earth Lusca والتهديدات الإلكترونية الأخرى.
SprySOCKS Linux يستهدف الباب الخلفي للكيانات الحكومية. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.