اكتشف خبراء من شركة Trend Micro اليابانية المتخصصة في قضايا الأمن السيبراني، البرنامج الخبيث SprySOCKS، الذي يستخدم لمهاجمة الأجهزة التي تعمل بنظام عائلة Linux.
البرمجيات الخبيثة الجديدة تأتي من الباب الخلفي لنظام التشغيل Windows Trochilus، اكتشف 2015 من قبل باحثين من شركة Arbor Networks، يتم إطلاقه وتنفيذه في الذاكرة فقط، ولا يتم تخزين حمولته على الأقراص، مما يعقد عملية الكشف بشكل كبير. وفي يونيو من هذا العام، اكتشف باحثو تريند مايكرو ملفًا باسم “libmonitor.so.2” على خادم تستخدمه مجموعة كانوا يراقبون نشاطها منذ عام 2021. وفي قاعدة بيانات VirusTotal، اكتشفوا الملف القابل للتنفيذ المرتبط "mkmon"، والذي ساعد في فك تشفير "libmonitor.so.2" والكشف عن حمولته.
اتضح أن هذا برنامج ضار معقد لنظام التشغيل Linux، وتتزامن وظائفه جزئيًا مع إمكانيات Trochilus ولديها تطبيق أصلي لبروتوكول المقبس الآمن (SOCKS)، لذلك تم تسمية البرنامج الضار باسم SprySOCKS. فهو يسمح لك بجمع معلومات حول النظام، وإطلاق واجهة أوامر الإدارة عن بعد (shell)، وتشكيل قائمة باتصالات الشبكة، ونشر خادم وكيل يعتمد على بروتوكول SOCKS لتبادل البيانات بين النظام المخترق وخادم أوامر المهاجم، و تنفيذ عمليات أخرى. يشير تحديد إصدارات البرامج الضارة إلى أنها لا تزال قيد التطوير.
ويشير الباحثون إلى أن SprySOCKS يستخدم من قبل قراصنة من مجموعة Earth Lusca - وقد تم اكتشافه لأول مرة في عام 2021، وظهر على قائمة مجرمي الإنترنت بعد عام. تستخدم المجموعة أساليب الهندسة الاجتماعية لإصابة الأنظمة. تقوم SprySOCKS بتثبيت حزم Cobalt Strike وWinnti كحمولات. الأول عبارة عن مجموعة أدوات للعثور على الثغرات الأمنية واستغلالها؛ والثانية عمرها أكثر من عشر سنوات، وتتصل بالسلطات الصينية. هناك نسخة مفادها أن مجموعة Earth Lusca، التي تعمل بشكل أساسي مع أهداف آسيوية، تهدف إلى اختلاس الأموال، لأن ضحاياها غالبًا ما يكونون شركات متورطة في المقامرة والعملات المشفرة.
اقرأ أيضا: