Sprysocks: China-Hacker setzen neue Linux-Backdoor gegen Behörden ein

Sicherheitsforscher von Trend Micro haben eine neuartige Linux-Backdoor namens Sprysocks entdeckt, die angeblich von einer mit der chinesischen Regierung in Verbindung stehenden Hackergruppe namens Earth Lusca eingesetzt wird, um weltweit Systeme von Regierungsbehörden zu infiltrieren. Wie die Forscher in ihrem Bericht erklären, sei die Schadsoftware von einer quelloffenen Windows-Backdoor namens Trochilus abgeleitet, jedoch seien einige auf Linux-Systeme ausgerichtete Funktionen vollständig neu implementiert worden.

Die Sicherheitsforscher selber untersuchten Sprysocks-Nutzdaten, die mit der Versionsnummer 1.3.6 versehen waren. Auf Virustotal fanden sie jedoch auch noch eine Version 1.1 der Backdoor, sodass davon auszugehen ist, dass sich Sprysocks aktiv in der Entwicklung befindet. Darüber hinaus sei die ältere Version mit einer IP-Adresse verbunden gewesen, die in der Vergangenheit einer von Earth Lusca genutzten Infrastruktur zugeordnet wurde.

Weiterhin entdeckten die Forscher in der Backdoor eine Implementierung für eine interaktive Shell, die Ähnlichkeiten zu jener der Linux-Variante der Derusbi-Malware aufweist. Die Struktur des Befehls- und Kontrollprotokolls sei außerdem vergleichbar mit jener der Redleaves-Backdoor, einem Remote-Access-Trojaner (RAT) für Windows-Systeme.

Darüber hinaus erlaubt Sprysocks den Angreifern die Ausführung einer Reihe weiterer Funktionen aus der Ferne. So lassen sich damit beispielsweise Systeminformationen abgreifen, Socks-Proxy-Server erstellen und verwalten, beliebige Dateien übermitteln und verschiedene lokale Dateioperationen auf dem Zielsystem ausführen.

Earth Lusca zielt auf Regierungsbehörden ab

Weiter geht aus dem Trend-Micro-Bericht hervor, dass Earth Lusca in der ersten Jahreshälfte 2023 vornehmlich Regierungsbehörden in den Bereichen Außenpolitik, Technologie und Telekommunikation angegriffen hat. Dabei sollen die böswilligen Akteure zwar Ziele auf der ganzen Welt anvisiert haben, jedoch habe sich die Hackergruppe zuletzt vor allem Südostasien, Zentralasien und den Balkan konzentriert.

Dabei greife Earth Lusca häufig über N-Day-Schwachstellen in öffentlich zugänglichen Serversystemen an, die verschiedene Softwareprodukte betreffen – darunter auch solche von Fortinet, Gitlab, Zimbra und Microsoft Exchange. Im Anschluss installiere die Gruppe üblicherweise eine Web-Shell und setze weitere Tools wie Cobalt Strike und Winnti ein, um sich weitere Zugänge zu verschaffen. Ziel der Hacker sei es, Dokumente und E-Mail-Kontodaten zu exfiltrieren und für langfristige Spionageaktivitäten eine Backdoor auf Zielsystemen zu platzieren.