トレンドマイクロの分析によると、「Earth Lusca」として知られる中国関連の脅威アクターが、これまで知られていなかったLinuxバックドアを介して世界各国の政府に対するサイバー諜報キャンペーンを実施している。
研究者のJoseph C Chen氏とJaromir Horejsi氏は、2021年に同グループの活動に関する初期の公開情報が出て以降、追跡を続けてきたと明らかにした。それ以来、Earth Luscaは2023年上半期にかけて、主に東南アジア、中央アジア、バルカン諸国の国々を中心に、世界各国の政府を標的とするよう作戦を拡大している。
研究者によれば、同グループの主な標的は、外交、技術、通信に関与する政府部門だという。
また、Earth Luscaは「現在、被害者の公開サーバーを積極的に標的にしている」とし、サーバー側のN-day脆弱性、すなわちパッチの有無にかかわらず公知となっている弱点を頻繁に悪用していると記した。
被害者のネットワークに侵入すると、同グループはWebシェルを展開し、横展開のためにCobalt Strikeをインストールして、文書やメールアカウントの認証情報の持ち出しを狙う。
さらに研究者は、脅威アクターがShadowPadやWinntiのLinux版といった高度なバックドアを展開し、標的に対して長期的な諜報活動を行っていると述べた。
新たなLinuxバックドア
中国の国家関連アクターを監視する中で、Chen氏とHorejsi氏は、脅威アクターの配布サーバー上にホストされていたlibmonitor.so.2という暗号化ファイルを入手した。VirusTotal上で当該ファイルの元のローダーを見つけ、復号に成功した結果、ペイロードがこれまで知られていなかったLinux標的のバックドアであることが判明し、研究者はこれを「SprySOCKS」と名付けた。
このバックドアは、オープンソースのWindowsバックドアTrochilusを起源としており、複数の機能がLinuxシステム向けに再実装されている。
研究者は、このLinuxバックドアにバージョン番号を参照するマーカーが含まれていることを確認した。調査では、異なる2つのバージョン番号を含む2つのSprySOCKSペイロードが見つかり、このバックドアがなお開発中であることを示している。
構造に関してブログは、SprySOCKSのコマンド&コントロール(C2)プロトコルは2つの要素、すなわちローダーと暗号化されたメインペイロードで構成され、ローダーがメインペイロードの読み取り、復号、実行を担うと報告した。
研究者は、この構造が、Windowsマシンに感染すると報告されているリモートアクセストロイの木馬(RAT)であるRedLeavesバックドアと類似していると付け加えた。
現時点で、SprySOCKSの使用が確認されているのはEarth Luscaのみである。
結論として、Chen氏とHorejsi氏は組織に対し、「攻撃対象領域を能動的に管理し、システムへの潜在的な侵入口を最小化して、侵害が成功する可能性を低減する」よう助言した。
さらに、「企業は、セキュリティ、機能性、そして全体的なパフォーマンスを確保するために、パッチを定期的に適用し、ツール、ソフトウェア、システムを更新すべきだ」と付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-group-linux-backdoor/
