Tech iCrewPlay.comTech iCrewPlay.com
  • Scienza
  • Spazio
  • Natura
    • Cambiamenti climatici
  • Curiosità
  • Salute
  • Recensione
  • Tecnologia
    • App e software
    • Prodotti Audio
    • Domotica e IoT
    • Elettrodomestici
    • Guide
    • Hardware e periferiche
    • Notebook e PC
    • Smartphone e tablet
    • Visione Digitale
    • Wearable
    • Cronologia
    • Seguiti
    • Segui
Cerca
  • Videogiochi
  • Libri
  • Cinema
  • Anime
  • Arte
Copyright © Alpha Unity. Tutti i diritti riservati.​
Lettura: Gruppo hacker Earth Lusca scopre backdoor su Linux
Share
Notifica
Ridimensionamento dei caratteriAa
Tech iCrewPlay.comTech iCrewPlay.com
Ridimensionamento dei caratteriAa
  • Videogiochi
  • Libri
  • Cinema
  • Anime
  • Arte
Cerca
  • Scienza
  • Spazio
  • Natura
    • Cambiamenti climatici
  • Curiosità
  • Salute
  • Recensione
  • Tecnologia
    • App e software
    • Prodotti Audio
    • Domotica e IoT
    • Elettrodomestici
    • Guide
    • Hardware e periferiche
    • Notebook e PC
    • Smartphone e tablet
    • Visione Digitale
    • Wearable
    • Cronologia
    • Seguiti
    • Segui
Seguici
  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer
Copyright © Alpha Unity. Tutti i diritti riservati.​
App e softwareTecnologia

Gruppo hacker Earth Lusca scopre backdoor su Linux

Andrea Tasinato 2 anni fa Commenta! 5
SHARE

Un gruppo di criminali informatici di origine cinese noto come Earth Lusca è stato visto prendere di mira enti governativi utilizzando un nuovo tipo di backdoor Linux mai visto prima chiamato SprySOCKS.

Contenuti di questo articolo
Earth Lusca, da dove salta fuori questo gruppo hackerObbiettivi e danni di Earth LuscaDi quanti malware esistono su Linux non ci è dato saperlo

Non è la prima volta che si scopre una backdoor su Linux o altri tipi di vulnerabilità, ma esiste (purtroppo) la convinzione radicata che questa classe di sistemi operativi sia “invincibile”.

Earth Lusca, da dove salta fuori questo gruppo hacker

Earth Lusca è stato documentato per la prima volta da Trend Micro nel gennaio 2022, descrivendo gli attacchi dell’avversario contro entità del settore pubblico e privato in Asia, Australia, Europa e Nord America.

Leggi Altro

Microsoft terminerà il supporto per le password nell’app Authenticator a partire dal 1 agosto 2025.
Prorelax Vacuum Massager Sensitive: micidiale contro la cellulite ed efficace per il lipedema
Scattered Spider prende di mira il settore aereo: l’FBI lancia l’allarme
Quantum Computing: superato un limite storico, dimostrata per la prima volta un’accelerazione esponenziale incondizionata

Attivo dal 2021, il gruppo ha fatto affidamento su attacchi di spear-phishing e watering hole per portare a termine i suoi piani di spionaggio informatico. Alcune attività del gruppo si sovrappongono con un altro cluster di minacce monitorato da Recorded Future con il nome RedHotel.

Gruppo hacker earth lusca scopre backdoor su linux

Le ultime scoperte della società di sicurezza informatica mostrano che Earth Lusca continua ad essere un gruppo attivo, espandendo addirittura le sue operazioni per prendere di mira organizzazioni in tutto il mondo nella prima metà del 2023.

Obbiettivi e danni di Earth Lusca

I principali obiettivi includono i dipartimenti governativi coinvolti in affari esteri, tecnologia e telecomunicazioni. Gli attacchi sono concentrati nel Sud-Est asiatico, nell’Asia centrale e nei Balcani.

Le sequenze di infezione iniziano con lo sfruttamento di falle di sicurezza note nei server Fortinet (CVE-2022-39952 e CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE-2019-18935) e Zimbra (CVE-2019-9621 e CVE-2019-9670) per rilasciare web shell e distribuire Cobalt Strike per il movimento laterale.

“Il gruppo intende sottrarre documenti e credenziali di account email, oltre a distribuire ulteriori backdoor avanzati come ShadowPad e la versione Linux di Winnti per condurre attività di spionaggio a lungo termine contro i loro obiettivi,” hanno dichiarato i ricercatori di sicurezza Joseph C. Chen e Jaromir Horejsi.

Earth lusca

Il server utilizzato per distribuire Cobalt Strike e Winnti è stato anche osservato ospitare SprySOCKS, che ha le sue radici nel backdoor Trochilus open-source per Windows; è importante notare che l’uso di Trochilus è stato collegato in passato a un gruppo di hacker cinese chiamato Webworm.

Caricato tramite una variante di un componente di iniezione ELF noto come mandibule, SprySOCKS è in grado di raccogliere informazioni di sistema, avviare una shell interattiva, creare e terminare un proxy SOCKS e eseguire varie operazioni su file e directory.

La comunicazione del comando e del controllo (C2) consiste in pacchetti inviati tramite il protocollo di controllo della trasmissione (TCP), riproducendo una struttura utilizzata da un trojan basato su Windows chiamato RedLeaves e che a sua volta sembrerebbe essere basato su Trochilus.

Sono state identificate almeno due diverse versioni di SprySOCKS (versioni 1.1 e 1.3.6) fino ad oggi, suggerendo che il malware venga continuamente modificato dagli aggressori per aggiungere nuove funzionalità.

“È importante che le organizzazioni gestiscano proattivamente la loro superficie di attacco, riducendo al minimo i punti di ingresso potenziali nel loro sistema e riducendo la probabilità di una violazione di successo,” hanno affermato i ricercatori, aggiungendo, “Le aziende dovrebbero applicare regolarmente patch e aggiornare i loro strumenti, software e sistemi per garantire la loro sicurezza, funzionalità e prestazioni complessive.”

Di quanti malware esistono su Linux non ci è dato saperlo

La crescente presenza di minacce su Linux, come quella di Earth Lusca, mette in allarme chi ha iniziato ad utilizzare una sua distribuzione per rimanere “immuen da virus” o “immune da attacchi informatici”, peccato che la realtà è più complessa.

La questione meriterebbe di essere approfondita, ma mentre Android e Windows, ad esempio, hanno dei sistemi di controllo (anche se “blandi”) per poter rilevare delle minacce, le distro Linux di solito non hanno nulla.

Sebbene sia possibile installare ClamAV un antivirus Linux che funziona tramite terminale, anch’esso tempo fa ha avuto qualche problema; sintetizzando, sebbene gran parte dei problemi siano responsabilità dell’utenza, non vuol dire che come credono molti “installo Linux e sono immune da tutto”, semplicemente non è così, come dimostra il caso Eearth Lusca, ma la cosa andrebbe trattata in altra sede.

Condividi questo articolo
Facebook Twitter Copia il link
Share
Cosa ne pensi?
-0
-0
-0
-0
-0
-0
lascia un commento lascia un commento

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer

Copyright © Alpha Unity. Tutti i diritti riservati.​

  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer
Bentornato in iCrewPlay!

Accedi al tuo account

Hai dimenticato la password?