Une nouvelle porte dérobée nommée SprySOCKS a été découverte sur des machines Linux !

22 septembre 2023 cybersécurité
Linux Nouvelle porte derobee SprySOCKS
Linux Nouvelle porte derobee SprySOCKS

Une nouvelle porte dérobée nommée SprySOCKS a été découverte sur des machines Linux ! L’acteur malveillant Earth Lusca, lié au gouvernement chinois, est à l’origine de cette nouvelle menace. Faisons le point !

C’est en janvier 2022 que le groupe de cybercriminels Earth Lusca a été documenté pour la première fois par l’éditeur Trend Micro, suite à des attaques orchestrées à l’encontre de plusieurs organisations publiques et privées situées en Asie, en Australie, en Europe et en Amérique du Nord.

Le temps est passé et Earth Lusca semble toujours actif comme en témoigne ce nouveau rapport mis en ligne par Trend Micro qui évoque les nouvelles cyberattaques repérées au cours du premier semestre 2023. Cette fois-ci, les cibles sont différentes puisque le groupe de cybercriminels s’attaque principalement aux services gouvernementaux en Asie du Sud-Est, en Asie centrale et dans les Balkans.

Les dernières attaques d’Earth Lusca

Pour compromettre l’infrastructure des organisations, les cybercriminels cherchent à exploiter des failles de sécurité connues et réparties dans différents produits. Il s’agit de vulnérabilités connues et corrigées depuis plusieurs années, mais qui continuent de faire des victimes.

Voici la liste de vulnérabilités fournie par Trend Micro :

  • Fortinet FortiOS, FortiProxy et FortiSwitchManager : CVE-2022-40684
  • Fortinet FortiNAC : CVE-2022-39952
  • GitLab CE/EE : CVE-2021-22205
  • Progress Telerik UI : CVE-2019-18935
  • Zimbra Collaboration Suite : CVE-2019-9670 / CVE-2019-9621
  • Microsoft Exchange : ProxyShell (CVE-2021-34473, CVE-2021-34523v, CVE-2021-31207)

L’objectif étant de déposer des web shells sur les machines compromises et de déployer Cobalt Strike pour effectuer des déplacements latéraux sur l’infrastructure cible.

Le groupe a l’intention d’exfiltrer des documents et des identifiants de comptes de messagerie, ainsi que de déployer des portes dérobées avancées telles que ShadowPad et la version Linux de Winnti pour mener des activités d’espionnage à long terme à l’encontre de ses cibles.« , précisent les chercheurs en sécurité de Trend Micro.

Source