“Earth Lusca”, un actor de ciberespionaje vinculado a China que ha estado apuntando activamente a organizaciones gubernamentales en Asia, América Latina y otras regiones desde al menos 2021, ha comenzado a utilizar una puerta trasera de Linux con características que parecen inspiradas en múltiples herramientas de malware previamente conocidas.

El malware que los investigadores de Trend Micro descubierto y estamos rastreando como “SprySOCKS”, es en primer lugar una variante de Linux de “Trochilus”, un troyano de acceso remoto (RAT) de Windows cuyo código se filtró y estuvo disponible públicamente en 2017.

Variante Linux de la puerta trasera de Windows

Trochilus tiene múltiples funciones, que incluyen permitir que los actores de amenazas instalen y desinstalen archivos de forma remota, registren pulsaciones de teclas y realicen capturas de pantalla, administración de archivos y edición del registro. Una característica principal del malware es su capacidad para permitir el movimiento lateral. Según Trend Micro, la rutina de ejecución principal y las cadenas de SprySOCKS muestran que se originó en Trochilus y que varias de sus funciones se reimplementaron para sistemas Linux.

Además, la implementación Earth Lusca del shell interactivo de SprySOCKS sugiere que se inspiró en la versión Linux de Derusbi, una familia de RAT en continua evolución que los actores de amenazas persistentes avanzadas han estado utilizando desde 2008. Además, la infraestructura de comando y control (C2) de SprySOCKS se parece a la que los actores de amenazas asocian con una RAT de segunda etapa llamada Hojas rojas han utilizado en campañas de ciberespionaje durante más de cinco años, afirmó Trend Micro.

Al igual que otros programas maliciosos de su tipo, SprySOCKS incorpora múltiples funciones que incluyen recopilar información del sistema, iniciar un shell interactivo, enumerar conexiones de red y cargar y filtrar archivos.

Actor de amenaza esquivo

Earth Lusca es un actor de amenazas algo esquivo que Trend Micro ha observado desde mediados de 2021, apuntando a organizaciones en el sudeste asiático y, más recientemente, en Asia central, los Balcanes, América Latina y África. La evidencia sugiere que el grupo es parte de winnti, un grupo informal de grupos de ciberespionaje que se cree que trabajan en nombre o en apoyo de los objetivos económicos chinos.

Los objetivos de Earth Lusca han incluido instituciones gubernamentales y educativas, grupos a favor de la democracia y de derechos humanos, grupos religiosos, organizaciones de medios y organizaciones que realizan investigaciones sobre COVID-19. Ha estado especialmente interesado en agencias gubernamentales involucradas en asuntos exteriores, telecomunicaciones y tecnología. Al mismo tiempo, si bien la mayoría de los ataques de Earth Lusca parecen estar relacionados con el ciberespionaje, en ocasiones el adversario también ha atacado a empresas de apuestas y criptomonedas, lo que sugiere que también tiene una motivación financiera, dijo Trend Micro.

En muchos de sus ataques, el actor de amenazas ha utilizado phishing, estafas comunes de ingeniería social y ataques de abrevadero para intentar afianzarse en una red objetivo. Desde principios de este año, los actores de Earth Lusca también han estado atacando agresivamente las llamadas vulnerabilidades de “día n” en aplicaciones web para infiltrarse en las redes de las víctimas. Una vulnerabilidad de n días es una falla que un proveedor ya ha revelado pero para la cual no hay ningún parche disponible actualmente. "Recientemente, el actor de amenazas ha sido muy agresivo al atacar los servidores públicos de sus víctimas explotando vulnerabilidades conocidas", dijo Trend Micro.

Entre los muchos defectos que se ha observado que Earth Lusca explota este año se encuentran CVE-2022-40684, una vulnerabilidad de omisión de autenticación en FortiOS de Fortinet y otras tecnologías; CVE-2022-39952, un error de ejecución remota de código (RCE) en Fortinet FortiNAC; y CVE-2019-18935, una interfaz de usuario de RCE en progreso Telerik para ASP.NET AJAX. Otros actores de amenazas también han explotado estos errores. CVE-2022-40684, por ejemplo, es una falla que un probable actor de amenazas respaldado por China utilizó en una campaña generalizada de ciberespionaje denominada “tifón voltio,”dirigido a organizaciones de múltiples sectores críticos, incluidos el gobierno, la fabricación, las comunicaciones y los servicios públicos.

"Earth Lusca aprovecha las vulnerabilidades del servidor para infiltrarse en las redes de sus víctimas, después de lo cual implementará un shell web e instalará Cobalt Strike para el movimiento lateral", dijo Trend Micro en su informe. "El grupo tiene la intención de exfiltrar documentos y credenciales de cuentas de correo electrónico, así como implementar aún más puertas traseras avanzadas como ShadowPad y la versión Linux de Winnti para llevar a cabo actividades de espionaje a largo plazo contra sus objetivos".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/china-linked-actor-taps-linux-backdoor-in-forceful-espionage-campaign