В ходе наблюдения за группой Earth Lusca TrendMicro удалось получить зашифрованный файл, размещенный на сервере доставки этого оператора атак. TrendMicro смогли найти оригинальный загрузчик этого файла на VirusTotal и успешно расшифровали его.
Интересно, что расшифрованная полезная нагрузка представляет собой ранее не встречавшийся бэкдор, нацеленный на Linux. Судя по основной процедуре выполнения и строкам, она происходит от Windows-бэкдора с открытым исходным кодом Trochilus, причем некоторые функции были переделаны для Linux-систем. Trend Micro назвали этот новый Linux-вариант SprySOCKS, ссылаясь на быстрое поведение Trochilus и новую реализацию Socket Secure (SOCKS) внутри бэкдора.
Анализ бэкдора SprySOCKS позволяет сделать несколько интересных выводов. Бэкдор содержит маркер, указывающий на номер версии бэкдора. Trend Micro обнаружили две полезные нагрузки SprySOCKS, содержащие два разных номера версии, что свидетельствует о том, что бэкдор все еще находится в стадии разработки. Кроме того, Trend Micro заметили, что реализация интерактивной оболочки, скорее всего, заимствована из Linux-варианта вредоносной программы Derusbi.
Между тем, структура командно-контрольного протокола SprySOCKS похожа на ту, что используется в бэкдоре RedLeaves - трояне удаленного доступа (RAT), заражающем машины под управлением Windows. Он состоит из двух компонентов - загрузчика и зашифрованной основной полезной нагрузки. Загрузчик отвечает за чтение, расшифровку и запуск основной полезной нагрузки.
Аналогично Windows-версии, Linux-вариант также состоит из этих двух компонентов. Ранее сообщалось, что RedLeaves также построен на основе общедоступного исходного кода Trochilus.
В первой половине 2023 года Earth Lusca продолжала активную деятельность, причем ее атаки были направлены в основном на страны Юго-Восточной Азии, Центральной Азии и Балкан (несколько разрозненных атак на страны Латинской Америки и Африки). Основными объектами атак группы являются правительственные ведомства, занимающиеся вопросами внешней политики, технологий и телекоммуникаций.
Earth Lusca использует уязвимости серверов для проникновения в сети своих жертв, после чего разворачивает веб-оболочку и устанавливает Cobalt Strike для латерального перемещения. Группа намерена осуществлять эксфильтрацию документов и учетных данных учетных записей электронной почты, а также в дальнейшем развернуть такие современные бэкдоры, как ShadowPad и Linux-версия Winnti, для ведения долгосрочной шпионской деятельности в отношении своих целей.
Indicators of Compromise
IPv4
- 207.148.75.122
Domains
- 2e6veme8xs.bmssystemg188.us
- lt76ux.confenos.shop
SHA256
- 65b27e84d9f22b41949e42e8c0b1e4b88c75211cbf94d5fd66edc4ebe21b7359
- 6f84b54c81d29cb6ff52ce66426b180ad0a3b907e2ef1117a30e95f2dc9959fc
- eebd75ae0cb2b52b71890f84e92405ac30407c7a3fe37334c272fd2ab03dff58
- f8ba9179d8f34e2643ee4f8bc51c8af046e3762508a005a2d961154f639b2912