網路資安商趨勢科技發現與 Trochilus 惡意軟體有關的新 Linux 後門程式,命名為 SpySOCKS。Trochilus 是中國駭客組織 APT10 所開發的 Windows 後門程式。趨勢科技發現,另一個中國駭客組織 Earth Lusca 將 Trochilus 本身的幾個功能與新版 Socket Secure(SOCKS)通訊協定相結合而開發出 SpySOCKS 後門程式。透過該惡意程式能將受害者電腦資料上傳至駭客主控的 C&C 伺服器上。
APT10(別名 Stone Panda 或 MenuPass)是一個與中國政府有關的進階持續性威脅(APT)攻擊組織,它所開發的 Trochilus 後門程式原始程式碼上傳至 GitHub 上,一放就是 6 年多,許多駭客組織最終使用它開發了其他惡意軟體,包括本文主角 SpySOCKS,以及另一個名為 RedLeaves 的 Windows 惡意軟體。Trochilus 於 2015 年首次被阻斷式攻擊防護商 Arbor Networks(後被網路及應用效能管理平台商 Netscout 收購)發現。
全新 SpySOCKS 後門程式會收集系統資訊,開啟互動式遠端殼層(remote shell)來控制被駭系統,列出網路連結,並基於 SOCKS 協定建立一個網路代理,以便將被駭系統上的檔案或其他資料上傳至 C&C 伺服器上。研究人員並發現多個版本的 SpySOCKS,顯示出該後門程式目前正持續不斷地開發中。
趨勢科技認為新 SpySOCKS 後門程式背後的主導者就是他們在 2021 年發現的 Earth Lusca 駭客組織,該組織的攻擊對象原則上涵蓋全球各地的公私部門,但會將亞洲政府列為首要攻擊目標。他們擅長運用水坑攻擊( watering-hole),主動將惡意軟體植入到受害者經常瀏覽的網站上來感染受害者系統。除了間諜活動外,Earth Lusca 駭客組織也會基於金錢利益考量,而打起下手博奕和加密貨幣公司的歪腦筋。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
