SprySOCKS

ほぼこもセキュリティニュース By Terilogy Worx

SprySOCKSはバックドア型マルウェアです。
Earth Luscaと呼ばれる脅威アクターがいくつもの地域で活動していることが確認されています。
その活動の中で、このSprySOCKSが使用されています。
SprySOCKSの設置に至る流れを見てみましょう。

  • 公開されているサービスで脆弱性がそのままのものを探す
    いくつもの脆弱性を想定し、それが残ったままの公開サービスを探します。
    CVE-2022-40684のあるままのFortiOS、CVE-2019-18935のあるままのASP.NET、CVE-2019-9670やCVE-2019-9621のあるままのZimbra Collaboration Suite、といった具合です。
    これら以外の脆弱性も対象になっているものがあります。
  • 脆弱性を悪用し、Cobalt Strikeビーコンを設置する
    リモートコード実行などの脆弱性を悪用することで、侵害先環境にCobalt Strikeビーコンを設置します。
    この時点ですでに結構自由な活動ができる状態となってしまいます。
    ファイルの抽出、アカウント資格情報の窃取、 ShadowPadやLinux版Winntiなどの追加のペイロードの展開が実施可能です。
  • mandibuleを投入する
    Cobalt Strikeビーコンはmandibuleを投入します。
    mandibuleはローダーです。
    プロセス情報で見る名称はLinuxカーネルのワーカースレッドに見える文字列となっていますが、ptsがアサインされています。
    通常のLinuxカーネルのワーカースレッドにはそのようなものはないのですが、mandibuleのプロセスはsshやtelnetで接続時に標準入出力先デバイスとすることでターミナル上に文字の表示をしたりすることができます。
  • SprySOCKSを投入する
    mandibuleはSprySOCKSを投入します。
    外部から持ち込んだバイナリを復号化すると出てくるのがSprySOCKSです。
    いくつもの機能を持つバックドアが設置されます。
    システム情報収集機能、対話型シェル機能、ネットワーク接続のリスト取得機能、SOCKSプロキシ機能、各種ファイル操作機能、などが実行できます。
    SprySOCKSはC2との通信で操作されますが、その通信はAES-ECBで暗号化されています。

この攻撃の過程には、被害者の介入は必要とされていません。
脆弱性の残った状態のままの公開サービスが攻撃者に見つけられてしまうと攻撃が成り立ってしまいます。
この脅威に対策することは技術的に難しいものではないといえます。
計画的にタイムリーに、脆弱性対策の実施された環境を維持していくとしましょう。

参考記事(外部リンク):Earth Lusca Employs New Linux Backdoor, Uses Cobalt Strike
for Lateral Movement

www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。