Para ahli dari perusahaan Jepang Trend Micro, yang berspesialisasi dalam masalah keamanan siber, menemukan program jahat SprySOCKS, yang digunakan untuk menyerang mesin yang menjalankan sistem keluarga Linux.
Malware baru ini berasal dari backdoor Windows Trochilus, telah menemukan Pada tahun 2015, oleh para peneliti dari perusahaan Arbor Networks, ini diluncurkan dan dijalankan hanya di memori, dan muatannya tidak disimpan di disk, sehingga sangat mempersulit pendeteksian. Pada bulan Juni tahun ini, peneliti Trend Micro menemukan file bernama “libmonitor.so.2” di server yang digunakan oleh grup yang aktivitasnya mereka pantau sejak tahun 2021. Dalam database VirusTotal, mereka menemukan file terkait yang dapat dieksekusi “mkmon”, yang membantu mendekripsi “libmonitor.so.2” dan mengungkap muatannya.
Ternyata ini adalah program jahat yang kompleks untuk Linux, yang fungsinya sebagian bertepatan dengan kemampuan Trochilus dan memiliki implementasi asli dari protokol Socket Secure (SOCKS), sehingga malware tersebut diberi nama SprySOCKS. Ini memungkinkan Anda mengumpulkan informasi tentang sistem, meluncurkan antarmuka perintah manajemen jarak jauh (shell), membuat daftar koneksi jaringan, menyebarkan server proxy berdasarkan protokol SOCKS untuk bertukar data antara sistem yang disusupi dan server perintah penyerang, dan melakukan operasi lainnya. Menentukan versi malware menunjukkan bahwa malware tersebut masih dalam pengembangan.
Para peneliti berpendapat bahwa SprySOCKS digunakan oleh peretas dari kelompok Earth Lusca - pertama kali ditemukan pada tahun 2021, dan muncul dalam daftar penjahat dunia maya setahun kemudian. Kelompok ini menggunakan metode rekayasa sosial untuk menginfeksi sistem. SprySOCKS menginstal paket Cobalt Strike dan Winnti sebagai payload. Yang pertama adalah perangkat untuk menemukan dan mengeksploitasi kerentanan; yang kedua, yang berusia lebih dari sepuluh tahun, menghubungi pihak berwenang Tiongkok. Ada versi bahwa kelompok Earth Lusca, yang sebagian besar bekerja dengan target di Asia, bertujuan untuk menggelapkan dana, karena korbannya sering kali adalah perusahaan yang terlibat dalam perjudian dan mata uang kripto.
Baca juga:
- Microsoft dituduh "mengabaikan secara terang-terangan" terhadap keamanan siber
- Peretas menonaktifkan salah satu observatorium astronomi paling modern