Gloednieuwe Chinese Linux-backdoor leent van Windows-malware
- Versleuteld bestand gevonden op server van aanvallers.
- Leidt naar Linux-bestand voor distributie en decryptie.
- Blijkt sluwe backdoor te zijn, met link naar Chinese aanvalsgroep.
- Lees ook: Russische rechtbanken gewist door gloednieuwe malware
China
CC0/Pixabay License
Security-onderzoekers stuiten op schokkende backdoor voor Linux, die dankzij open source leentjebuur heeft gespeeld bij een bekende backdoor voor Windows. De makers van de gloednieuwe Linux-malware zijn een geavanceerde aanvalsgroep (APT10) uit China die in verband wordt gebracht met de Chinese regering.
De nu ontdekte Linux-backdoor is niet simpelweg een kloon van wat al jaren bestaat voor Windows. De SprySOCKS-backdoor heeft namelijk wat eigen verbeteringen, om aanvallen op Linux-systemen beter en stiekemer te kunnen uitvoeren. Onderzoekers van securityleverancier Trend Micro zijn in juni gestuit op een versleuteld bestand op een server, waarvan ze wisten dat die wordt gebruikt door een aanvallersgroep die ze al volgen sinds 2021.
Speurtocht (en code uit 2015)
Via VirusTotal hebben de security-onderzoekers het gevonden bestand (libmonitor.so.2) weten te linken aan een uitvoerbaar Linux-bestand (mkmon). Dat programma bevatte de credentials die nodig zijn om het versleutelde bestand te decrypten, waardoor de eigenlijke aanvalscode (payload) was te ontgrendelen en onderzoeken.
De onderzoekers trekken dan ook de conclusie dat mkmon een installatiebestand is om libmonitor.so.2 te bezorgen, te ontsleutelen en dan te activeren. Deze nieuw ontdekte Linux-malware heeft diverse functies van de Windows-backdoor Trochilus overgenomen, schrijft Ars Technica. Die oudere malware voor Microsofts besturingssysteem is in 2015 voor het eerst waargenomen en de broncode ervan is al meer dan zes jaar openlijk beschikbaar op GitHub.
Veelzijdig en versies
De Trochilus-functies die zijn geport naar Linux zijn vervolgens versterkt met een nieuwe SOCKS-implementatie, schrijven de experts van Trend Micro in een blogpost over hun ontdekking. SprySOCKS heeft de gebruikelijke mogelijkheden van een backdoor, waaronder het verzamelen van systeeminformatie en het openstellen van een remote shell (de eigenlijke achterdeur) voor aanvallers, maar kan nog meer.
Het decrypten van het aangetroffen eerste bestand heeft geleid tot opsporing van meer gerelateerde bestanden. Deze zoektocht via VirusTotal heeft een oudere versie van de Linux-malware opgeleverd: 1.1, terwijl Trend Micro een versie 1.3.6 heeft ontdekt. "De meerdere versies suggereren dat de backdoor momenteel in ontwikkeling is", aldus de security-experts van Trend Micro.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee