SprySOCKS, la nouvelle porte dérobée Linux du groupe Earth Lusca !
Une nouvelle porte dérobée nommée SprySOCKS a été découverte sur des machines Linux ! L'acteur malveillant Earth Lusca, lié au gouvernement chinois, est à l'origine de cette nouvelle menace. Faisons le point !
C'est en janvier 2022 que le groupe de cybercriminels Earth Lusca a été documenté pour la première fois par l'éditeur Trend Micro, suite à des attaques orchestrées à l'encontre de plusieurs organisations publiques et privées situées en Asie, en Australie, en Europe et en Amérique du Nord.
Le temps est passé et Earth Lusca semble toujours actif comme en témoigne ce nouveau rapport mis en ligne par Trend Micro qui évoque les nouvelles cyberattaques repérées au cours du premier semestre 2023. Cette fois-ci, les cibles sont différentes puisque le groupe de cybercriminels s'attaque principalement aux services gouvernementaux en Asie du Sud-Est, en Asie centrale et dans les Balkans.
Les dernières attaques d'Earth Lusca
Pour compromettre l'infrastructure des organisations, les cybercriminels cherchent à exploiter des failles de sécurité connues et réparties dans différents produits. Il s'agit de vulnérabilités connues et corrigées depuis plusieurs années, mais qui continuent de faire des victimes.
Voici la liste de vulnérabilités fournie par Trend Micro :
- Fortinet FortiOS, FortiProxy et FortiSwitchManager : CVE-2022-40684
- Fortinet FortiNAC : CVE-2022-39952
- GitLab CE/EE : CVE-2021-22205
- Progress Telerik UI : CVE-2019-18935
- Zimbra Collaboration Suite : CVE-2019-9670 / CVE-2019-9621
- Microsoft Exchange : ProxyShell (CVE-2021-34473, CVE-2021-34523v, CVE-2021-31207)
L'objectif étant de déposer des web shells sur les machines compromises et de déployer Cobalt Strike pour effectuer des déplacements latéraux sur l'infrastructure cible.
Le groupe a l'intention d'exfiltrer des documents et des identifiants de comptes de messagerie, ainsi que de déployer des portes dérobées avancées telles que ShadowPad et la version Linux de Winnti pour mener des activités d'espionnage à long terme à l'encontre de ses cibles.", précisent les chercheurs en sécurité de Trend Micro.
La porte dérobée SprySOCKS
Au cours de leur investigation, les chercheurs en sécurité ont croisé la route de SprySOCKS, une porte dérobée pour Linux. Ils l'ont appelé ainsi, car elle trouve ses origines dans la porte dérobée Windows nommée Trochilus et qu'elle s'appuie sur une implémentation de Socket Secure (SOCKS) pour les communications.
Bien qu'Earth Lusca semble le seul groupe de pirates à utiliser SprySOCKS, cette menace s'inspire de différents outils et malwares existants. Au-delà de Trochilus, le serveur C2 utilisé par les cybercriminels est similaire à celui utilisé par la porte dérobée RedLeaves, connue pour infecter les machines Windows.
La porte dérobée SprySOCKS est dotée d'un ensemble de fonctionnalités lui permettant de collecter des informations sur le système, de démarrer un shell interactif, de télécharger et charger des fichiers, de manipuler les fichiers (créer, supprimer, lister, renommer) et de déployer un proxy SOCKS.
À ce jour, au moins deux versions différentes de SprySOCKS (versions 1.1 et 1.3.6) ont été identifiées, ce qui laisse penser que ce logiciel malveillant est régulièrement mis à jour par les cybercriminels : "Nous avons identifié deux payloads SprySOCKS contenant deux numéros de version différents, ce qui indique que la porte dérobée est toujours en cours de développement."
Bonjour,
Quelle est la source qui prouve que le gouvernement chinois est impliqué ?
Bonjour,
Si vous recherchez « Earth Lusca » avec Google ou autre moteur de recherche, vous verrez différents sites fiables qui donnent cette information.