L’acteur menaçant lié à la Chine connu sous le nom de Terre Lusca a été observé ciblant des entités gouvernementales à l’aide d’une porte dérobée Linux inédite appelée SprySOCKS.
Earth Lusca a été documenté pour la première fois par Trend Micro en janvier 2022, détaillant les attaques de l’adversaire contre des entités des secteurs public et privé en Asie, en Australie, en Europe et en Amérique du Nord.
Actif depuis 2021, le groupe s’appuie sur le spear phishing et les attaques de points d’eau pour mener à bien ses programmes de cyberespionnage. Certaines activités du groupe se chevauchent avec un autre groupe de menaces suivi par Recorded Future sous le nom de RedHotel.
Les dernières découvertes de la société de cybersécurité montrent qu’Earth Lusca continue d’être un groupe actif, étendant même ses opérations à des organisations cibles à travers le monde au cours du premier semestre 2023.
Les principales cibles incluent les ministères gouvernementaux impliqués dans les affaires étrangères, la technologie et les télécommunications. Les attaques sont concentrées en Asie du Sud-Est, en Asie centrale et dans les Balkans.
Les séquences d’infection commencent par l’exploitation de failles de sécurité connues dans Fortinet public (CVE-2022-39952 et CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE). -2019-18935) et Zimbra (CVE-2019-9621 et CVE-2019-9670) pour larguer des web shells et lancer Cobalt Strike pour un mouvement latéral.
« Le groupe a l’intention d’exfiltrer des documents et des identifiants de compte de messagerie, ainsi que de déployer davantage de portes dérobées avancées comme ShadowPad et la version Linux de Winnti pour mener des activités d’espionnage à long terme contre ses cibles », ont déclaré les chercheurs en sécurité Joseph C. Chen et Jaromir Horejsi. .
Il a également été observé que le serveur utilisé pour fournir Cobalt Strike et Winnti héberge SprySOCKS, qui trouve ses racines dans la porte dérobée Windows open source Trochilus. Il convient de noter que l’utilisation de Trochilus a été liée dans le passé à une équipe de hackers chinois appelée Webworm.
Chargé au moyen d’une variante d’un composant d’injection ELF connue sous le nom de mandibule, SprySOCKS est équipé pour collecter des informations système, démarrer un shell interactif, créer et terminer le proxy SOCKS et effectuer diverses opérations sur les fichiers et les répertoires.
La communication de commande et de contrôle (C2) consiste en des paquets envoyés via le protocole TCP (Transmission Control Protocol), reflétant une structure utilisée par un cheval de Troie basé sur Windows appelé RedLeaves, lui-même censé être construit sur Trochilus.
Au moins deux échantillons différents de SprySOCKS (versions 1.1 et 1.3.6) ont été identifiés à ce jour, ce qui suggère que le malware est continuellement modifié par les attaquants pour ajouter de nouvelles fonctionnalités.
« Il est important que les organisations gèrent de manière proactive leur surface d’attaque, en minimisant les points d’entrée potentiels dans leur système et en réduisant la probabilité d’une violation réussie », ont déclaré les chercheurs.
« Les entreprises doivent régulièrement appliquer des correctifs et mettre à jour leurs outils, logiciels et systèmes pour garantir leur sécurité, leurs fonctionnalités et leurs performances globales. »
