사이버 보안 문제를 전문으로 하는 일본 회사인 Trend Micro의 전문가들은 Linux 시스템 제품군을 실행하는 시스템을 공격하는 데 사용되는 악성 프로그램 SprySOCKS를 발견했습니다.
새로운 악성 코드는 Windows 백도어인 Trochilus에서 유래되었습니다. 발견 2015년 Arbor Networks 회사의 연구원들이 이 프로그램을 실행하고 메모리에서만 실행하며 페이로드가 디스크에 저장되지 않아 탐지가 상당히 복잡해졌습니다. 올해 2월, 트렌드마이크로 연구원들은 2021년부터 활동을 모니터링해 온 그룹이 사용하는 서버에서 "libmonitor.so.2"라는 파일을 발견했습니다. VirusTotal 데이터베이스에서 그들은 "libmonitor.so."를 해독하고 페이로드를 공개하는 데 도움이 되는 관련 실행 파일 "mkmon"을 발견했습니다.
이것은 Linux용 복잡한 악성 프로그램으로 밝혀졌으며 그 기능은 Trochilus의 기능과 부분적으로 일치하고 SOCKS(Socket Secure) 프로토콜을 원래 구현했기 때문에 악성 코드에 SprySOCKS라는 이름이 지정되었습니다. 이를 통해 시스템에 대한 정보를 수집하고, 원격 관리 명령 인터페이스(셸)를 실행하고, 네트워크 연결 목록을 구성하고, SOCKS 프로토콜을 기반으로 프록시 서버를 배포하여 손상된 시스템과 공격자의 명령 서버 간에 데이터를 교환할 수 있습니다. 다른 작업을 수행합니다. 악성 코드의 버전을 지정하면 해당 악성 코드가 아직 개발 중임을 나타냅니다.
연구원들은 SprySOCKS가 Earth Lusca 그룹의 해커들이 사용한다고 제안합니다. 이는 2021년에 처음 발견되었으며 년 후 사이버 범죄자 목록에 나타났습니다. 이 그룹은 사회 공학적 방법을 사용하여 시스템을 감염시킵니다. SprySOCKS는 Cobalt Strike 및 Winnti 패키지를 페이로드로 설치합니다. 첫 번째는 취약점을 찾아 악용하는 키트입니다. 년이 넘은 두 번째 사람은 중국 당국에 연락합니다. 주로 아시아인을 대상으로 활동하는 Earth Lusca 그룹이 자금 횡령을 목표로 한다는 버전도 있습니다. 피해자가 도박 및 암호화폐 관련 기업인 경우가 많기 때문입니다.
또한 읽기: