Nuevo Malware SprySOCKS Linux vinculado a Ciberespionaje

Un hacker chino conocido como 'Earth Lusca' que se enfoca en operaciones de espionaje ha sido visto atacando agencias gubernamentales de distintos países mediante el uso de una inédita puerta trasera para Linux llamada SprySOCKS.

Según una análisis efectuado por Trend Micro, este novedoso software malintencionado tiene sus raíces en el malware de código abierto para Windows conocido como Trochilus, y ha sido adaptado para operar eficazmente en entornos Linux, manteniendo muchas de sus funcionalidades originales.

A pesar de ello, SprySOCKS no es una simple transposición de Trochilus, ya que incorpora elementos de distintos malwares en su diseño. Por ejemplo, el protocolo de comunicación con su servidor de comando y control (C2) recuerda al utilizado por RedLeaves, una conocida puerta trasera para Windows. Adicionalmente, la forma en que implementa su shell interactivo parece haber sido tomada de Derusbi, otro malware específico para Linux.

Incursiones de Earth Lusca

Durante los primeros seis meses del año, Earth Lusca se mantuvo operativo, centrando sus ataques en importantes organismos gubernamentales en áreas de relaciones exteriores, tecnología y telecomunicaciones, no solo en el Sudeste Asiático, Asia Central y los Balcanes, sino a escala global.

Los atacantes han utilizado estas vulnerabilidades para instalar beacons de Cobalt Strike, herramientas que facilitan el acceso remoto a las redes comprometidas. Una vez dentro, se movilizan lateralmente por la red, extrayendo archivos, sustrayendo credenciales y desplegando cargas perniciosas adicionales, incluyendo el malware ShadowPad.

Además, las beacons de Cobalt Strike se han empleado para implantar el cargador SprySOCKS, una versión del inyector ELF de Linux conocido como "mandibule". Este llega a los sistemas objetivo a través de un archivo denominado "libmonitor.so.2".

Aunque los atacantes adaptaron "mandibule" para satisfacer sus requerimientos, lo hicieron de forma precipitada, dejando rastros como mensajes y símbolos de depuración. Una vez en el sistema, el cargador opera bajo el nombre "kworker/0:22" para esquivar la detección, emulando un proceso de trabajo del núcleo de Linux. Posteriormente, descifra la carga útil de la fase siguiente (SprySOCKS) y asegura su presencia continuada en el equipo afectado.

Funcionalidades de SprySOCKS

SprySOCKS opera a través de un marco de red de alto rendimiento conocido como 'HP-Socket', y sus comunicaciones TCP con el servidor C2 están protegidas mediante cifrado AES-ECB.

Este malware reciente presenta diversas funcionalidades destacadas como puerta trasera, que son:

- Recopilación exhaustiva de datos del sistema, incluyendo especificaciones del sistema operativo, memoria, dirección IP, detalles del grupo, idioma y CPU.
- Inicialización de un shell interactivo que se sirve del subsistema PTY.
- Listado de conexiones de red activas.
- Administración de configuraciones de proxy SOCKS.
- Ejecución de operaciones fundamentales con archivos, como cargarlos, descargarlos, listarlos, eliminarlos, renombrarlos y crear directorios.

Además, SprySOCKS crea una identificación única para cada víctima utilizando la dirección MAC de la primera interfaz de red que enumera y algunas características de la CPU, la cual transforma en una cadena hexadecimal de 28 bytes.

Trend Micro ha analizado dos iteraciones de SprySOCKS, las versiones v1.1 y v1.3.6, lo que apunta a un desarrollo continuo y activo del malware.

Para las organizaciones, es imperativo mantener sus sistemas actualizados mediante la aplicación de los parches de seguridad más recientes en sus servidores públicos, una medida preventiva crucial para esquivar los ataques iniciales de Earth Lusca.

¿Cómo protegerse del malware SprySOCKS?

Protegerse contra el malware SprySOCKS implica la adopción de varias estrategias de seguridad tanto proactivas como reactivas. Aquí te presentamos algunas recomendaciones para garantizar una defensa sólida contra este tipo de amenazas:

1. Actualizaciones de Seguridad: Asegúrate de mantener todos sus sistemas, aplicaciones y software actualizados. Las actualizaciones de seguridad son esenciales para protegerse contra vulnerabilidades conocidas que los malware como SprySOCKS pueden explotar.

2. Software de Seguridad: Utiliza una solución de seguridad, como nuestro SOC as a Service, que ofrezca protección en tiempo real contra malware y otras amenazas.

3. Firewall: Manten un firewall activado en todos los dispositivos para filtrar el tráfico no deseado y potencialmente malicioso.

4. Prevención de Intrusiones: Utiliza sistemas de detección y prevención de intrusiones (IDS/IPS) para detectar y bloquear actividades anómalas.

5. Restringir Privilegios: Asegúrate de que los usuarios y las aplicaciones operen con el mínimo nivel de privilegios necesario. No uses cuentas con derechos de administrador para tareas diarias.

6. Educación y Concienciación: Capacita a tu personal sobre los riesgos de seguridad y las mejores prácticas. Una persona informada es menos probable que caiga en tácticas de ingeniería social o abra archivos adjuntos sospechosos.

7. Backups: Realiza copias de seguridad regulares de tus datos y asegúrate de que estén almacenados en una ubicación segura, preferiblemente desconectada de la red principal.

8. Análisis de Red: Monitorea regularmente el tráfico de su red en busca de patrones inusuales que puedan indicar una infección.