Cyberthreat.id - Aktor ancaman China yang dikenal sebagai Earth Lusca diamati menargetkan entitas pemerintah menggunakan backdoor Linux yang belum pernah dilihat sebelumnya yang disebut SprySOCKS.

The Hacker News melaporkan, Earth Lusca pertama kali didokumentasikan oleh Trend Micro pada Januari 2022, merinci serangan musuh terhadap entitas sektor publik dan swasta di Asia, Australia, Eropa, Amerika Utara.

Aktif sejak 2021, kelompok ini mengandalkan serangan spear-phishing dan watering hole untuk melakukan skema spionase dunia maya.

Beberapa aktivitas grup tersebut tumpang tindih dengan cluster ancaman lain yang dilacak oleh Recorded Future dengan nama RedHotel.

Temuan terbaru dari perusahaan keamanan siber tersebut menunjukkan bahwa Earth Lusca terus menjadi kelompok yang aktif, bahkan memperluas operasinya untuk menargetkan organisasi di seluruh dunia selama paruh pertama tahun 2023.

Sasaran utamanya mencakup departemen pemerintah yang terlibat dalam urusan luar negeri, teknologi, dan telekomunikasi. Serangan terkonsentrasi di Asia Tenggara, Asia Tengah, dan Balkan.

Urutan infeksi dimulai dengan eksploitasi kelemahan keamanan yang diketahui di Fortinet (CVE-2022-39952 dan CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE -2019-18935), dan server Zimbra (CVE-2019-9621 dan CVE-2019-9670) untuk menjatuhkan shell web dan mengirimkan Cobalt Strike untuk pergerakan lateral.

“Kelompok ini bermaksud untuk mengambil dokumen dan kredensial akun email, serta menyebarkan lebih lanjut pintu belakang canggih seperti ShadowPad dan Winnti versi Linux untuk melakukan aktivitas spionase jangka panjang terhadap targetnya,” kata peneliti keamanan Joseph C. Chen dan Jaromir Horejsi kepada The Hacker News.

Server yang digunakan untuk mengirimkan Cobalt Strike dan Winnti juga diamati menjadi host SprySOCKS, yang berakar pada backdoors Windows sumber terbuka Trochilus.

Perlu dicatat bahwa penggunaan Trochilus telah dikaitkan dengan kru peretas Tiongkok bernama Webworm di masa lalu.

Dimuat melalui varian komponen injektor ELF yang dikenal sebagai mandibule, SprySOCKS dilengkapi untuk mengumpulkan informasi sistem, memulai shell interaktif, membuat dan mengakhiri proxy SOCKS, dan melakukan berbagai operasi file dan direktori.

Komunikasi perintah-dan-kontrol (C2) terdiri dari paket-paket yang dikirim melalui protokol Transmisi Kontrol Protokol (TCP), mencerminkan struktur yang digunakan oleh trojan berbasis Windows yang disebut sebagai RedLeaves, yang dikatakan dibangun di atas Trochilus.

Setidaknya dua sampel SprySOCKS yang berbeda (versi 1.1 dan 1.3.6) telah diidentifikasi hingga saat ini, menunjukkan bahwa malware tersebut terus dimodifikasi oleh penyerang untuk menambahkan fitur baru.

“Penting bagi organisasi untuk secara proaktif mengelola permukaan serangan mereka, meminimalkan potensi titik masuk ke dalam sistem mereka dan mengurangi kemungkinan keberhasilan pelanggaran,” kata para peneliti.

“Bisnis harus secara teratur menerapkan perbaikan dan memperbarui alat, perangkat lunak, dan sistem mereka untuk memastikan keamanan, fungsionalitas, dan kinerja mereka secara keseluruhan.”[]