ناشط تهديد صيني يستهدف الحكومات حول العالم بالفصيل الخلفي الجديد لـ Linux

أكدت شركة Trend Micro مؤخرًا أن الناشط التهديدي الصيني المعروف بـ Earth Lusca يستهدف العديد من الحكومات في جميع أنحاء العالم بواسطة الباب الخلفي الجديد لـ Linux. وقد بدأت هذه المنظمة نشاطها مع بداية العام، وتركز بشكل رئيسي على الكيانات الحكومية في جنوب شرق آسيا وآسيا الوسطى والبلقان ومناطق أخرى، مع اهتمام خاص بشؤون الخارجية والتكنولوجيا والاتصالات. يبدو أن هدف Earth Lusca المعلن هو التجسس.

لقد استخدمت المجموعة عدة ثغرات لتنفيذ الكود عن بُعد غير مُصدقة للإختراق في أنظمة أهدافها، وقد تم اكتشاف معظم هذه الثغرات وحلها بين عامي 2019 و2022. من خلال هذه الثغرات، نشروا الشعارات المعروفة ب Cobalt Strike، التي استخدمت بعد ذلك لنشر الباب الخلفي الجديد لـ Linux والمعروف بـ SprySOCKS.

ليس SprySOCKS جديدًا تمامًا، فكوده مزيج من عدة أشكال أخرى من البرامج الضارة، بما في ذلك البرنامج الضارة المفتوح المصدر Trochilus لـ Windows، و باب خلفي لنفس نظام التشغيل يدعى RedLeaves، و Derusbi، وهو برنامج ضار لـ Linux. تتضمن الوظائف الرئيسية له جمع معلومات النظام، بدء قذيفة تفاعلية باستخدام نظام PTY الفرعي، قائمة الاتصالات الشبكية، إدارة تكوينات البروكسي SOCKS، بالإضافة إلى القدرات الأكثر شيوعًا مثل تنزيل وتحميل الملفات.

بالإضافة إلى SprySOCKS، شوهدت المجموعة أيضًا تنشر معدلًا لـ Linux ELF يسمى "mandibule". تم تعديل Mandibule نفسه، ولكن بطريقة غير مرتبة نسبيًا حيث اكتشف الباحثون رسائل تصحيح الأخطاء والرموز المتبقية، مما يشير إلى أن المطورين لم يكونوا يعيران الأمر اهتمامًا حقيقيًا.

على عكس Mandibule، يتم تطوير SprySOCKS بنشاط، كما خلص الباحثون. تمكنوا من الحصول على نسختين من الباب الخلفي، بما في ذلك الإصدار 1.1 و 1.3.6. والطريقة الأفضل للحماية من مثل هذه التهديدات هي التأكد من أن جميع نقاط النهاية مُحدثة بانتظام.