Các biến thể Windows của phần mềm độc hại SprySOCKS Linux đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chính phủ ở ít nhất bốn quốc gia.
SprySOCKS đã được liên kết tới nhóm đe dọa Trung Quốc ‘Earth Lusca’, nhóm đã triển khai nó trong các cuộc tấn công chống lại các thực thể chính phủ tập trung vào các vấn đề đối ngoại, công nghệ và viễn thông.
Giờ đây, các nhà nghiên cứu của ESET đã phát hiện ra các biến thể Windows của cùng một họ phần mềm độc hại được sử dụng từ năm 2023 đến năm 2024 trong các cuộc tấn công vào các tổ chức chính phủ ở Đài Loan, Thái Lan, Pakistan và Honduras.
ESET quy hoạt động này với độ tin cậy cao cho tác nhân gây ra mối đe dọa Lusca trên Trái đất mà họ theo dõi là ‘FishMonger’ (còn gọi là ‘Aquatic Panda’, ‘Red Dev 10’ và TAG-22).
Không giống như phiên bản Linux đã được ghi lại trước đó, biến thể Windows bổ sung khả năng tàng hình cấp hạt nhân cho phép người vận hành ẩn các thành phần phần mềm độc hại và liên lạc với cửa sau thông qua lưu lượng truy cập được chuyển hướng từ các cổng TCP tùy ý.
Hai biến thể là WIN_DRV, có trình điều khiển hạt nhân cho các khả năng giống như rootkit và WIN_PLUS, một cửa hậu cơ bản hơn.
Cả hai biến thể đều cung cấp các khả năng sau:
- Giao tiếp qua TCP, UDP và WebSocket
- Hỗ trợ hơn 30 lệnh điều khiển và điều khiển (C2)
- Thu thập thông tin hệ thống
- Liệt kê và quản lý các quy trình và dịch vụ
- Liệt kê, tạo, xóa, tải lên, tải xuống, sao chép, đổi tên và thực thi tệp
- Hỗ trợ chức năng proxy SOCKS
- Có thể hoạt động như cả máy khách và máy chủ
- Ghi lại các lần nhấn phím, nội dung clipboard và tiêu đề cửa sổ đang hoạt động
Nguồn: ESET
Biến thể WIN_DRV bao gồm chức năng bổ sung là tải trình điều khiển có tên ‘RawWNPF’ trực tiếp vào bộ nhớ.
Trình điều khiển được tải từ trình điều khiển hạt nhân khác có tên ‘DriverLoader’ (fsdiskbit.sys) được ký bằng chứng chỉ bị rò rỉ từ dự án GitHub PastDSE.
Trình điều khiển cho phép phần mềm độc hại ẩn các quy trình thông qua thao tác API của Windows, ẩn kết nối mạng, ẩn tệp khỏi danh sách thư mục và ẩn các mục nhập khóa Sổ đăng ký độc hại mà nó sử dụng để tồn tại lâu dài.
Đạt được tính bền vững thông qua các tác vụ đã lên lịch và Tùy chọn Thực thi Tệp Hình ảnh (IFEO) qua vds.exe cho WIN_DRV và đăng ký tải trọng dưới dạng Bộ xử lý In Windows (VSPMsg) cho WIN_PLUS.
Một tính năng được quan sát khác cho phép kiểm tra lưu lượng TCP đến và chuyển hướng các gói được chế tạo đặc biệt tới cửa sau SprySOCKS. Điều này cho phép giao tiếp mà không làm lộ cổng nghe.
“Phiên bản WIN_DRV […] cho phép chuyển hướng lưu lượng TCP cho phép kẻ điều hành phần mềm độc hại gửi lệnh đến cửa sau thông qua một cổng TCP ngẫu nhiên trên thiết bị của nạn nhân mà không làm lộ cổng nghe thực sự của cửa sau trong lưu lượng mạng,” ESET giải thích.
Nguồn: ESET
Dữ liệu đo từ xa của ESET cũng cho thấy dấu hiệu của thành phần bộ khởi động UEFI có thể khai thác CVE-2023-24932, một lỗ hổng Khởi động an toàn trước đây được sử dụng làm ngày số 0 bởi phần mềm độc hại BlackLotus UEFI.
Tuy nhiên, không có thêm thông tin chi tiết hoặc bằng chứng mạnh mẽ nào được cung cấp để chứng minh mối liên hệ với BlackLotus.
Báo cáo ESETS cung cấp phân tích kỹ thuật chi tiết và các chỉ báo về sự xâm phạm có thể giúp các tổ chức xác định và bảo vệ khỏi các cuộc tấn công bằng cách sử dụng các phiên bản Windows của cửa sau SprySOCKS.
Mặc dù những biến thể này không phải là mới, nhưng việc phát hiện ra chúng cho thấy Earth Lusca đã mở rộng kho vũ khí của mình để nhắm mục tiêu vào nhiều hệ thống đa dạng hơn.
Các nhóm bảo mật ghi lại 54% các cuộc tấn công thành công và cảnh báo chỉ 14%. Phần còn lại di chuyển qua môi trường của bạn mà không thể nhìn thấy.
Báo cáo nghiên cứu chuyên sâu của Picus cho thấy cách mô phỏng vi phạm và tấn công kiểm tra các quy tắc SIEM và EDR của bạn để các mối đe dọa không còn bị phát hiện.