Британские исследователи обнаружили Linux-бэкдор от китайских хакеров

Исследователи обнаружили невиданный ранее бэкдор для Linux, который используется злоумышленниками, связанными с китайским правительством.

Помогаем

Детям из Мариуполя нужно 120 ноутбуков для обучения - подари старое "железо", пусть оно работает на будущее Украины

Он происходит от бэкдора для Windows под названием Trochilus, который впервые был обнаружен в 2015 году исследователями из Arbor Networks, ныне известной как Netscout, передает ArsTechnica.

Исследователи из британской компании NHS Digital утверждают, что Trochilus был разработан группой APT10, связанной с китайским правительством, также известной под названиями Stone Panda и MenuPass.

Впоследствии его использовали другие группы, а его исходный код уже более шести лет доступен на GitHub. Trochilus был замечен в кампаниях, которые использовали отдельную часть вредоносного программного обеспечения, известную как RedLeaves.

В июне исследователи из компании Trend Micro обнаружили зашифрованный двоичный файл на сервере, что использовался группой, за которой они следили с 2021 года. Проведя поиск в VirusTotal по названию файла libmonitor.so.2, исследователи нашли исполняемый файл Linux под названием mkmon. Он содержал учетные данные, с помощью которых расшифровали файл libmonitor.so.2, что позволило исследователям сделать вывод, что mkmon — это установочный файл libmonitor.so.2.

Вредоносное программное обеспечение для Linux портировало несколько функций, найденных в Trochilus, и объединило их с новой реализацией Socket Secure (SOCKS). Исследователи Trend Micro назвали свое открытие SprySOCKS, где spry означает быстрое поведение.

SprySOCKS реализует обычные возможности бэкдора, включая сбор системной информации, открытие интерактивной удаленной оболочки для управления