Un pirate informatique chinois spécialisé dans l’espionnage, identifié sous le nom de « Earth Lusca », a été observé ciblant des agences gouvernementales dans plusieurs pays, en utilisant une nouvelle porte dérobée Linux baptisée « SprySOCKS ».
L’analyse de Trend Micro de la nouvelle porte dérobée a montré qu’elle provenait du malware Windows open source Trochilus, dont bon nombre de fonctions étaient portées pour fonctionner sur les systèmes Linux.
Cependant, le logiciel malveillant semble être un mélange de plusieurs logiciels malveillants, car le protocole de communication du serveur de commande et de contrôle (C2) de SprySOCKS est similaire à RedLeaves, une porte dérobée de Windows. En revanche, l’implémentation du shell interactif semble avoir été dérivée de Derusbi, un malware Linux.
Attaques terrestres de Lusca
Earth Lusca est resté actif tout au long du premier semestre, ciblant des entités gouvernementales clés axées sur les affaires étrangères, la technologie et les télécommunications en Asie du Sud-Est, en Asie centrale, dans les Balkans et dans le monde.
Trend Micro rapporte avoir constaté des tentatives d’exploitation de plusieurs failles d’exécution de code à distance non authentifiées sur n jours datant entre 2019 et 2022, affectant les points de terminaison exposés à Internet.
Ces failles sont exploitées pour supprimer les balises Cobalt Strike, qui permettent un accès à distance au réseau piraté. Cet accès est utilisé pour se propager latéralement sur le réseau tout en exfiltrant des fichiers, en volant les informations d’identification du compte et en déployant des charges utiles supplémentaires, comme ShadowPad.
Les acteurs de la menace utilisent également les balises Cobalt Strike pour déposer le chargeur SprySOCKS, une variante de l’injecteur Linux ELF appelée « mandibule », qui arrive sur les machines ciblées sous la forme d’un fichier nommé « libmonitor.so.2 ».
Les chercheurs de Trend Micro affirment que les attaquants ont adapté Mandibule à leurs besoins, mais de manière quelque peu précipitée, laissant derrière eux des messages et des symboles de débogage.
Le chargeur s’exécute sous le nom « kworker/0:22 » pour éviter d’être détecté en ressemblant à un thread de travail du noyau Linux, déchiffre la charge utile de deuxième étape (SprySOCKS) et établit la persistance sur l’ordinateur infecté.
Capacités SprySOCKS
La porte dérobée SprySOCKS utilise un cadre réseau hautes performances appelé « HP-Socket » pour son fonctionnement, tandis que ses communications TCP avec le C2 sont cryptées AES-ECB.
Les principales fonctionnalités de porte dérobée de ce nouveau malware incluent :
- Collecte d’informations sur le système (détails du système d’exploitation, mémoire, adresse IP, nom du groupe, langue, CPU),
- démarrer un shell interactif qui utilise le sous-système PTY,
- lister les connexions réseau,
- gérer les configurations du proxy SOCKS,
- et effectuer des opérations de base sur les fichiers (téléchargement, téléchargement, liste, suppression, renommage et création de répertoires.)
Le malware génère également un identifiant client (numéro de victime) en utilisant l’adresse MAC de la première interface réseau répertoriée et certaines fonctionnalités du processeur, puis le convertit en une chaîne hexadécimale de 28 octets.
Trend Micro rapporte avoir échantillonné deux versions de SprySOCKS, v1.1 et v.1.3.6, indiquant un développement actif du malware.
La priorité recommandée aux organisations devrait être d’appliquer les mises à jour de sécurité disponibles sur les produits serveurs publics, ce qui, dans ce cas, empêcherait une compromission initiale de la part d’Earth Lusca.