Forscher haben eine noch nie dagewesene Hintertür für Linux entdeckt, die von einem mit der chinesischen Regierung verbundenen Bedrohungsakteur genutzt wird.
Die neue Hintertür stammt von einer Windows-Hintertür namens Trochilus, die erstmals 2015 von Forschern von Arbor Networks, heute bekannt als Netscout, entdeckt wurde. Sie sagten, dass Trochilus nur im Speicher ausgeführt und ausgeführt wurde und die endgültige Nutzlast in den meisten Fällen nie auf Festplatten erschien. Dadurch war die Schadsoftware schwer zu erkennen. Forscher von NHS Digital im Vereinigten Königreich sagten, Trochilus sei von APT10 entwickelt worden, einer mit der chinesischen Regierung verbundenen Gruppe fortgeschrittener hartnäckiger Bedrohungen, die auch unter den Namen Stone Panda und MenuPass bekannt ist.
Andere Gruppen nutzten es schließlich und sein Quellcode ist seit mehr als sechs Jahren auf GitHub verfügbar. Es wurde beobachtet, dass Trochilus in Kampagnen eingesetzt wurde, bei denen eine separate Schadsoftware namens RedLeaves zum Einsatz kam.
Im Juni fanden Forscher des Sicherheitsunternehmens Trend Micro eine verschlüsselte Binärdatei auf einem Server, von dem bekannt ist, dass er von einer Gruppe verwendet wird, die sie seit 2021 verfolgt hatten. Durch die Suche bei VirusTotal nach dem Dateinamen libmonitor.so.2 fanden die Forscher sie eine ausführbare Linux-Datei mit dem Namen „mkmon“. Diese ausführbare Datei enthielt Anmeldeinformationen, die zum Entschlüsseln der Datei libmonitor.so.2 und zum Wiederherstellen ihrer ursprünglichen Nutzlast verwendet werden konnten, was die Forscher zu dem Schluss führte, dass es sich bei „mkmon“ um eine Installationsdatei handelt, die libmonitor.so.2 bereitgestellt und entschlüsselt hat.
Die Linux-Malware portierte mehrere in Trochilus gefundene Funktionen und kombinierte sie mit einer neuen Socket Secure (SOCKS)-Implementierung. Die Trend Micro-Forscher nannten ihre Entdeckung schließlich SprySOCKS, wobei „spry“ ihr schnelles Verhalten und die hinzugefügte SOCKS-Komponente bezeichnet.
SprySOCKS implementiert die üblichen Backdoor-Funktionen, darunter das Sammeln von Systeminformationen, das Öffnen einer interaktiven Remote-Shell zur Steuerung kompromittierter Systeme, das Auflisten von Netzwerkverbindungen und die Erstellung eines Proxys basierend auf dem SOCKS-Protokoll zum Hochladen von Dateien und anderen Daten zwischen dem kompromittierten System und dem vom Angreifer kontrollierten System Befehlsserver. Die folgende Tabelle zeigt einige der Funktionen:
| Nachrichten ID | Anmerkungen |
|---|---|
| 0x09 | Ruft Maschineninformationen ab |
| 0x0a | Startet die interaktive Shell |
| 0x0b | Schreibt Daten in die interaktive Shell |
| 0x0d | Stoppt die interaktive Shell |
| 0x0e | Listet Netzwerkverbindungen auf (Parameter: „ip“, „port“, „commName“, „connectType“) |
| 0x0f | Sendet Paket (Parameter: „target“) |
| 0x14, 0x19 | Sendet ein Initialisierungspaket |
| 0x16 | Erzeugt und legt die Client-ID fest |
| 0x17 | Listet Netzwerkverbindungen auf (Parameter: „tcp_port“, „udp_port“, „http_port“, „listen_type“, „listen_port“) |
| 0x23 | Erstellt einen SOCKS-Proxy |
| 0x24 | Beendet den SOCKS-Proxy |
| 0x25 | Leitet SOCKS-Proxy-Daten weiter |
| 0x2a | Lädt Datei hoch (Parameter: „transfer_id“, „size“) |
| 0x2b | Ruft die Dateiübertragungs-ID ab |
| 0x2c | Lädt Datei herunter (Parameter: „state“, „transferId“, „packageId“, „packageCount“, „file_size“) |
| 0x2d | Ruft den Übertragungsstatus ab (Parameter: „state“, „transferId“, „result“, „packageId“) |
| 0x3c | Listet Dateien im Stammverzeichnis / auf. |
| 0x3d | Listet Dateien im Verzeichnis auf |
| 0x3e | Löscht die Datei |
| 0x3f | Erstellt ein Verzeichnis |
| 0x40 | Benennt die Datei um |
| 0x41 | Keine Operation |
| 0x42 | Bezieht sich auf die Operationen 0x3c – 0x40 (srcPath, destPath) |
Nachdem sie die Binärdatei entschlüsselt und SprySOCKS gefunden hatten, nutzten die Forscher die gefundenen Informationen, um VirusTotal nach zugehörigen Dateien zu durchsuchen. Ihre Suche ergab eine Version der Malware mit der Release-Nummer 1.1. Die von Trend Micro gefundene Version war 1.3.6. Die verschiedenen Versionen deuten darauf hin, dass sich die Hintertür derzeit in der Entwicklung befindet.
Der Befehls- und Kontrollserver, mit dem SprySOCKS eine Verbindung herstellt, weist große Ähnlichkeiten mit einem Server auf, der in einer Kampagne mit einer anderen Windows-Malware namens RedLeaves verwendet wurde. Wie SprySOCKS basierte auch RedLeaves auf Trochilus. Zeichenfolgen, die sowohl in Trochilus als auch in RedLeaves vorkommen, erscheinen auch in der SOCKS-Komponente, die zu SprySOCKS hinzugefügt wurde. Der SOCKS-Code wurde vom HP-Socket entlehnt, einem leistungsstarken Netzwerk-Framework chinesischen Ursprungs.
Trend Micro führt SprySOCKS einem Bedrohungsakteur zu, den es Earth Lusca nennt. Die Forscher entdeckten die Gruppe im Jahr 2021 und dokumentierten sie im folgenden Jahr. Earth Lusca richtet sich an Organisationen auf der ganzen Welt, vor allem an Regierungen in Asien. Es nutzt Social Engineering, um Opfer auf Watering-Hole-Sites zu locken, wo sie mit Malware infiziert sind. Earth Lusca zeigt nicht nur Interesse an Spionageaktivitäten, sondern scheint auch finanziell motiviert zu sein und hat Glücksspiel- und Kryptowährungsunternehmen im Visier.
Derselbe Earth-Lusca-Server, auf dem SprySOCKS gehostet wurde, lieferte auch die als Cobalt Strike und Winnti bekannten Nutzlasten. Cobalt Strike ist ein Hacking-Tool, das von Sicherheitsexperten und Bedrohungsakteuren gleichermaßen verwendet wird. Es bietet eine vollständige Suite von Tools zum Auffinden und Ausnutzen von Schwachstellen. Earth Lusca nutzte es, um seinen Zugang zu erweitern, nachdem es sich einen ersten Zugang in einer Zielumgebung verschafft hatte. Winnti hingegen ist sowohl der Name einer Malware-Reihe, die seit mehr als einem Jahrzehnt im Einsatz ist, als auch die Kennung für eine Vielzahl unterschiedlicher Bedrohungsgruppen, die alle mit dem Geheimdienstapparat der chinesischen Regierung verbunden sind, der zu den weltweit führenden zählt produktivsten Hacker-Syndikate.
Der Trend Micro-Bericht vom Montag liefert IP-Adressen, Datei-Hashes und andere Beweise, anhand derer Personen feststellen können, ob sie kompromittiert wurden.