Cảnh báo: Mã độc SprySOCKS trên Linux

- Nhóm tấn công mạng Earth Lusca được cho là có liên quan đến Trung Quốc, đã sử dụng một backdoor Linux mới có tên là SprySOCKS để tiến hành các cuộc tấn công cơ quan chính phủ.

Nhóm này hoạt động kể từ năm 2021 và lần đầu bị phát hiện vào tháng 01/2022 khi đang thực hiện chiến dịch tấn công nhằm vào các tổ chức công cộng và tư nhân tại châu Á, Úc, châu Âu và Bắc Mỹ.

Earth Lusca thường sử dụng các hình thức “spear-phishing” và “watering hole attacks” để thực hiện các cuộc tấn công gián điệp mạng. Đối tượng tấn công nhắm đến thường là các cơ quan chính phủ trong lĩnh vực ngoại giao, công nghệ và viễn thông, chủ yếu tập trung ở Đông Nam Á, Trung Á và Balkan.

Ảnh minh họa

Chiến dịch tấn công bắt đầu bằng việc khai thác các lỗ hổng bảo mật trên các máy chủ công cộng chạy trên các ứng dụng sau:

• Fortinet (CVE-2022-39952 và CVE-2022-40694)

• GitLab (CVE-2021-22205)

• Microsoft Exchange Server (ProxyShell)

• Progress Telerik UI (CVE-2019-18935)

• Zimbra (CVE-2019-9621 và CVE-2019-9670)

Sau đó, nhóm này triển khai các công cụ và phần mềm độc hại, chẳng hạn như Cobalt Strike, để tiến hành các hoạt động xâm nhập và gián điệp mạng. Mục tiêu chính là đánh cắp tài liệu và thông tin đăng nhập tài khoản email.

Bên cạnh đó, triển khai các backdoor tiên tiến khác như ShadowPad và phiên bản Linux của Winnti để thực hiện các hoạt động gián điệp dài hạn trên thiết bị lây nhiễm. Điều này đặt ra nghi vấn rằng

Earth Lusca có liên quan đến Trung Quốc, bởi vì có sự tương đồng về mục tiêu và phương thức tấn công với một số nhóm tấn công đã bị phát hiện trước đó.

Có ít nhất hai phiên bản của SprySOCKS đã được xác định cho đến nay, cho thấy rằng nhóm này không ngừng cập nhật và nâng cấp mã độc để thêm các tính năng mới. Trong nửa đầu của năm 2023, Earth Lusca đã mở rộng phạm vi hoạt động của họ để tiến hành các cuộc tấn công vào các tổ chức trên toàn cầu.

Trong bối cảnh này, các tổ chức cần phòng thủ bằng cách quản lý phạm vi bị tấn công và tối thiểu hóa các điểm truy cập vào hệ thống để giảm thiểu khả năng xảy ra xâm nhập. Đồng thời, cần phải thường xuyên cập nhật bản vá, công cụ, phần mềm và hệ thống nhằm đảm bảo tính bảo mật, chức năng và hoạt động của đơn vị.