Grupo chino explota la puerta trasera de Linux para atacar a los gobiernos

Un actor de amenazas vinculado a China conocido como «Earth Lusca» ha estado llevando a cabo campañas de ciberespionaje contra gobiernos de todo el mundo a través de una puerta trasera de Linux previamente desconocida, según un análisis de Trend Micro.

Los investigadores, Joseph C Chen y Jaromir Horejsi, revelaron que habían estado rastreando al grupo desde una publicación inicial sobre sus actividades en 2021. Desde entonces, Earth Lusca ha ampliado sus operaciones para apuntar a gobiernos de todo el mundo durante la primera mitad de 2023, principalmente en países del sudeste asiático, Asia central y los Balcanes.

Los principales objetivos del grupo son los departamentos gubernamentales involucrados en asuntos exteriores, tecnología y telecomunicaciones, dijeron los investigadores.

Escribieron que Earth Lusca “ahora está apuntando agresivamente a los servidores públicos de sus víctimas” y con frecuencia explota las vulnerabilidades de día N basadas en servidores, debilidades conocidas públicamente con o sin parche.

Una vez que se ha infiltrado en las redes de sus víctimas, el grupo despliega un caparazón web e instala Cobalt Strike para el movimiento lateral, con el objetivo de exfiltrar documentos y credenciales de cuentas de correo electrónico.

Además, los investigadores dijeron que el actor de amenazas implementa puertas traseras avanzadas como ShadowPad y la versión Linux de Winnti para realizar actividades de espionaje a largo plazo contra sus objetivos.

Mientras monitoreaban al actor vinculado al estado de China, Chen y Horejsi obtuvieron un archivo cifrado llamado libmonitor.so.2 alojado en el servidor de entrega del actor de amenazas. Después de encontrar el cargador original del archivo en VirusTotal y descifrarlo con éxito, los investigadores descubrieron que la carga útil es una puerta trasera previamente desconocida dirigida a Linux, a la que llamaron «SprySOCKS».

Esta puerta trasera se origina a partir de la puerta trasera de código abierto de Windows, Trochilus, y se han reimplementado varias funciones para los sistemas Linux.

Los investigadores observaron que la puerta trasera de Linux contiene un marcador que hace referencia a su número de versión. La investigación descubrió dos cargas útiles de SprySOCKS que contenían dos números de versión diferentes, lo que indica que la puerta trasera aún está en desarrollo.

Con respecto a la estructura, el blog informó que el protocolo de comando y control (C2) de SprySOCKS consta de dos componentes: el cargador y la carga útil principal cifrada, siendo el cargador responsable de leer, descifrar y ejecutar la carga útil principal.

Esta estructura tiene similitudes con la puerta trasera RedLeaves, un troyano de acceso remoto (RAT) que, según se informa, infecta máquinas con Windows, agregaron los investigadores.

Hasta la fecha, sólo se ha observado Earth Lusca utilizando SprySOCKS.

SendmarcZi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.