Conseils sur les cybermenaces : un pirate cible le gouvernement

Remarque : cet article a été initialement publié sur SmarterMSP.

Ces conseils sur les cybermenaces traitent d'un pirate chinois connu sous le nom de « Earth Lusca », qui s'est attaqué à des entités gouvernementales. Il utilise un backdoor Linux inédit appelé SprySOCKS. Earth Lusca a été identifié pour la première fois par Trend Micro en janvier 2022, détaillant les attaques du groupe contre des entités des secteurs public et privé en Asie, en Australie, en Europe et en Amérique du Nord.

Nature de la menace

Le backdoor Linux inconnu jusqu'à présent, SprySOCKS, est issu du malware Windows à code source ouvert Trochilus. Un grand nombre de ses fonctions sont en cours de conversion pour fonctionner sur les systèmes Linux. Earth Lusca cible principalement les services gouvernementaux impliqués dans les affaires étrangères, la technologie et les télécommunications. Les séquences du virus commencent par l'exploitation de failles de sécurité connues dans les serveurs Fortinet (CVE-2022-39952 et CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Pregress Telerik UI (CVE-2019-18935) et Zimbra (CVE-2019-9621 et CVE-2019-9670) destinés au grand public, afin de créer des shells web et d'utiliser Cobalt Strike pour les déplacements latéraux. Jusqu'à présent, les chercheurs ont détecté deux échantillons de SprySOCKS avec des numéros de version différents, ce qui signifie que le backdoor est toujours en cours de développement.

Pourquoi est-ce important ?

Le malware semble être un mélange de malwares car son protocole de communication de commande et de contrôle (C2) ressemble à RedLeaves, un backdoor Windows, tandis que le shell de mise en œuvre semble avoir été dérivé de Derusbi, un malware Linux. Chargé au moyen d'une variante d'un composant injecteur ELF connu sous le nom de mandibule, SprySOCKS est équipé pour recueillir des informations sur le système, démarrer un shell interactif, créer et supprimer un proxy SOCKS et effectuer diverses opérations sur les fichiers et les répertoires.

Quel est le risque ou le degré d'exposition ?

L'introduction de SprySOCKS élargit l'arsenal Linux de Earth Lusca. Récemment, le groupe s'est montré très agressif en ciblant les serveurs publics de ses victimes en exploitant des vulnérabilités connues. Le groupe utilise les vulnérabilités pour larguer des balises Cobalt Strike, qui permettent d'accéder à distance au réseau violé. En plus d'utiliser Cobalt Strike pour exfiltrer des fichiers, voler des identifiants de compte et déployer des charges utiles supplémentaires, le groupe s'en sert également pour déposer le chargeur SprySOCKS, qui atterrit sur les machines ciblées sous la forme d'un fichier nommé « libmonitor.so.2 ».Le chargeur s'exécute sous le nom « kworker/0:22 » pour éviter d'être détecté.Il ressemble à un thread de travail du noyau Linux, décrypte la charge utile de deuxième étape (SprySOCKS) et assure sa persistance sur l'ordinateur infecté.

Quelles sont les recommandations ?

Barracuda MSP recommande les mesures suivantes pour limiter l'impact de SprySOCKS :

• Gérez de manière proactive votre surface d'attaque, en minimisant les points d'entrée potentiels dans votre système et en réduisant la probabilité d'une violation réussie.
• Les entreprises doivent régulièrement appliquer des correctifs et mettre à jour leurs outils, logiciels et systèmes afin de garantir leur sécurité, leur fonctionnalité et leurs performances.
• Les solutions de sécurité avancées et fiables, telles que Barracuda XDR, sont essentielles pour protéger les entreprises contre Earth Lusca et d'autres pirates.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

• Le nouveau backdoor SprySOCKS Linux de Earth Lusca cible les entités gouvernementales (thehackernews.com)
• Nouveau malware SprySOCKS Linux utilisé lors d'attaques de cyberespionnage (bleepinginformatiter.com)
• Earth Lusca élargit son arsenal avec le malware Linux SprySOCKS (securityaffairs.com)
• Earth Lusca utilise un nouveau backdoor Linux et Cobalt Strike pour le mouvement latéral (trendmicro.com)

Si vous avez des questions au sujet de cette alerte de menace pour la cybersécurité, veuillez contacter notre "Security Operations Center".