Earth Lusca の SprySOCKS という Linux バックドア：中国から各国の政府機関を狙っている

Earth Lusca’s New SprySOCKS Linux Backdoor Targets Government Entities

2023/09/19 TheHackerNews — Earth Lusca と呼ばれる中国由来の脅威アクターが、SprySOCKS という未知の Linux バックドアを用いて、各国の政府機関を標的としていることが確認された。Earth Lusca は、2022年1月に Trend Micro により初めて文書化され、アジア／オーストラリア／ヨーロッパ／北米の公共機関および民間企業に対する攻撃の詳細が報告された。この 2021年から活動しているグループは、スピアフィッシングや水飲み場攻撃を利用して、サイバー・スパイ活動を展開している。なお、その活動の一部は、RedHotel という名前で Recorded Future が追跡している、別の脅威クラスターと重複している。

このサイバーセキュリティ企業の最新調査によると、Earth Lusca は活動を継続しているグループであり、2023年前半には世界中の組織をターゲットに活動を拡大している。主な標的は、外交、テクノロジー、テレコミュニケーションに関わる政府部門である。また、攻撃は東南アジア、中央アジア、バルカン半島に集中している。

SprySOCKS の感染は、既知のセキュリティ欠陥を悪用して Web シェルをドロップし、横移動のために Cobalt Strike を配信するところから始まる。悪用される脆弱性は、パブリック向けの Fortinet (CVE-2022-39952／CVE-2022-40684)、GitLab (CVE-2021-22205)、Microsoft Exchange Server (ProxyShell)、Progress Telerik UI (CVE-2019-18935)、Zimbra (CVE-2019-9621／CVE-2019-9670) などである。

セキュリティ研究者である Joseph C. Chen と Jaromir Horejsi は、「このグループは、文書や電子メール・アカウントの認証情報を流出させるだけではなく、 ShadowPad や Linux 版の Winnti のような高度なバックドアも展開し、ターゲットに対して長期的なスパイ活動を行うことを意図している」と述べている。

Cobalt Strike と Winnti を配信するために使用されたサーバには、オープンソースの Windows バックドア Trochilus をルーツとする、SprySOCKS がホストされていることも確認された。Trochilus の使用は、過去に Webworm と呼ばれていた、中国のハッキング・クルーと結びついていることは注目に値する。

mandibule として知られる、ELF インジェクター・コンポーネントの亜種によりロードされた SprySOCKS が備える機能は、システム情報の収集／対話型シェルの起動／SOCKS プロキシの作成と終了／各種のファイルとディレクトリの操作などである。

Command and Control (C2) 通信は、TCP (Transmission Control Protocol) プロトコルを介して送信されるパケットで構成され、Trochilus 上に構築されたと言われる、 Windows ベースのトロイの木馬 RedLeaves が使用する構造をミラーリングする。

現在までに少なくとも２種類の SprySOCKS のサンプル (バージョン1.1／1.3.6) が確認されており、このマルウェアが継続的に修正され、新しい機能が追加されていることが示唆されている。

研究者たちは、「組織が攻撃対象領域を積極的に管理し、システムへの潜在的な侵入経路を最小限に抑え、侵害が成功する可能性を減らすことが重要である。企業は定期的にパッチを適用し、ツール／ソフトウェア／システムを更新して、セキュリティ／機能性／全体的なパフォーマンスを確保すべきである」と述べている。

RedHotel との関連性が指摘されていますが、2023/08/09 に「世界を襲う中国系ハッカー RedHotel：３年間で日本などの 17カ国を攻撃」されているように、日本は無関係という話でもなさそうです。そして、この記事にも Earth Lusca の名前が記されていました。古い脆弱性を悪用する、なかなか手ごわい APT のようです。よろしければ、2023/08/03 の「2022年に悪用された脆弱性 Top-12：Five Eyes／FBI／CISA／NSA の共同勧告」も、ご参照ください。

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

Share this: