Cybersecurity-Bedrohungshinweis: Bedrohungsakteur zielt auf Regierungsbehörden ab

Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.

In diesem Cybersecurity-Bedrohungshinweis geht es um einen chinesischen Bedrohungsakteur namens „Earth Lusca“, der beobachtet wurde, als er Regierungseinrichtungen ins Visier nahm. Sie verwenden eine nie zuvor gesehene Linux-Hintertür namens SprySOCKS. Earth Lusca wurde erstmals im Januar 2022 von Trend Micro dokumentiert. Darin werden die Angriffe der Gruppe auf öffentliche und private Einrichtungen in Asien, Australien, Europa und Nordamerika beschrieben.

Welcher Art ist die Bedrohung?

Die bisher unbekannte Linux-Hintertür, SprySOCKS, stammt von der Open-Source Windows-Malware Trochilus. Viele ihrer Funktionen werden für die Arbeit auf Linux-Systemen portiert. Earth Lusca zielt primär auf Regierungsbehörden ab, die mit Außenpolitik, Technologie und Telekommunikation zu tun haben. Infektionssequenzen starten mit der Ausnutzung von bekannten Security-Mängeln im öffentlich zugänglichen Fortinet-Servern (CVE-2022-39952 und CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Pregress Telerik UI (CVE-2019-18935) und Simbra (CVE-2019-9621 und CVE-2019-9670), um Web-Shells abzuwerfen und Cobalt Strike für laterale Bewegungen bereitzustellen. Bisher haben Forscher zwei Beispiele für SprySOCKS mit unterschiedlichen Versionsnummern entdeckt, was darauf hindeutet, dass sich die Hintertür noch in der Entwicklung befindet.

Warum sollte man aufmerksam sein?

Die Malware scheint eine Mischung aus unterschiedlicher Malware zu sein, da ihr Kommunikationsprotokoll „Command and Control“ (C2) der Windows-Hintertür RedLeaves ähnelt, während die Implementierung-Shell von Derusbi, einer Linux-Malware, abgeleitet zu sein scheint. SprySOCKS wird über eine Variante einer ELF-Einspeisung-Komponente namens Mandibule geladen und ist in der Lage, Systeminformationen zu sammeln, eine interaktive Shell zu starten, einen SOCKS-Proxy zu erstellen und zu beenden und verschiedene Datei- und Verzeichnisvorgänge auszuführen.

Wie hoch ist Risiko einer Exposition?

Die Einführung von SprySOCKS erweitert das Linux-Arsenal von Earth Lusca. In letzter Zeit hat die Gruppe sehr aggressiv die öffentlich zugänglichen Server ihrer Opfer ins Visier genommen, indem sie bekannte Schwachstellen ausnutzt. Die Gruppe nutzt Schwachstellen aus, um Cobalt-Strike-Beacons zu platzieren, die den Fernzugriff auf das kompromittierte Netzwerk ermöglichen. Die Gruppe verwendet Cobalt Strike nicht nur zum Exfiltrieren von Dateien, zum Stehlen von Kontozugangsdaten und zum Bereitstellen von zusätzlichen Payloads sondern auch, um den SprySOCKS-Loader zu löschen, der in Form einer Datei namens „libmonitor.so.2“ auf den Zielcomputern ankommt. Der Loader läuft unter dem Namen „kworker/0:22“, um nicht entdeckt zu werden. Er ähnelt einem Linux-Kernel-Worker-Thread, entschlüsselt die Payload der zweiten Stufe (SprySOCKS) und stellt Persistenz auf dem infizierten Computer her.

Welche Empfehlungen haben Sie?

Barracuda MSP empfiehlt die folgenden Maßnahmen, um die Auswirkungen von SprySOCKS einzuschränken:

• Verwalten Sie Ihre Angriffsfläche proaktiv, minimieren Sie die potenziellen Eintrittspunkte in Ihr System und verringern Sie die Wahrscheinlichkeit eines erfolgreichen Verstoßes.
• Unternehmen sollten regelmäßig Patches anwenden und ihre Tools, Software und Systeme aktualisieren, um ihre Security, Funktionalität und Leistung zu gewährleisten.
• Fortschrittliche und flexible Sicherheitslösungen wie Barracuda XDR sind für den Schutz von Unternehmen vor Earth Lusca und anderen Bedrohungsakteuren unerlässlich.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• Neue SprySOCKS-Linux-Backdoor von Earth Lusca zielt auf Regierungsbehörden ab (thehackernews.com)
• Neue Linux-Malware für Cyberspionageangriffe SprySOCKS (bleepingcomputer.com)
• Earth Lusca erweitert sein Arsenal um SprySOCKS Linux-Malware (securityaffairs.com)
• Earth Lusca verwendet neue Linux-Backdoor und Cobalt Strike für laterale Bewegungen (trendmicro.com)

Wenn Sie Fragen zu dieser Cybersecurity-Bedrohungshinweis haben, wenden Sie sich bitte an unser Security Operations Center.