详细内容或原文请订阅后点击阅览
与中国相关的 FishMonger 通过内核级隐形和 UEFI Bootkit 提示将 SprySOCKS 移植到 Windows
与中国相关的 FishMonger 使用两个 SprySOCKS Windows 变体,利用内核驱动程序和打印后台处理程序来攻击四个国家的政府。 ESET 研究人员发现了两个以前未记录的 SprySOCKS Windows 版本,这是安全社区迄今为止将其视为仅限 Linux 的后门。趋势科技于 2023 年 9 月首次记录了 Linux 变体,并且 [...]
来源:Security Affairs _恶意软件与中国相关的 FishMonger 通过内核级隐形和 UEFI Bootkit 提示将 SprySOCKS 移植到 Windows
与中国相关的 FishMonger 使用两个 SprySOCKS Windows 变体,利用内核驱动程序和打印后台处理程序来攻击四个国家的政府。
ESET 研究人员发现了两个以前未记录的 Windows 版本的 SprySOCKS,这是安全社区迄今为止将其视为仅限 Linux 的后门。趋势科技于 2023 年 9 月首次记录了该 Linux 变种,并将其归因于 Earth Lusca,这是一位与中国有联系的演员,也被追踪为 Aquatic Panda、Charcoal Typhoon 和 RedHotel,后者至少自 2021 年以来一直活跃,由一家名为 i-Soon 的中国承包商运营。 ESET 研究人员跟踪了与 FishMonger 相同的集群,并将其置于更广泛的 Winnti 保护之下。
“ESET 研究人员发现了 SprySOCKS 的两个尚未记录的 Windows 变体,据报道这是 FishMonger 使用的一个以前仅限 Linux 的后门”,ESET 发布的报告中写道。 “发现的 Windows 变体在内部标记为 WIN_DRV 和 WIN_PLUS。两者都带有硬编码的 C&C 配置,并支持通过 TCP、UDP 和 WebSocket 协议进行通信。”
这两个变体是 SprySOCKS 1.8 版本的一部分,并共享 Linux 原始变体的核心架构:相同的命令和控制协议、相同的加密、相同的整体命令处理逻辑。然而,这些样本使用不同的传递机制并且更加隐蔽。
WIN_DRV同样实现了TCP流量引流。后门通过受害者设备上的随机 TCP 端口接收命令,网络流量中没有任何内容显示哪个端口实际正在侦听。这使得通过网络监控进行检测变得相当困难。
“WIN_DRV 变体会创建一个隐秘的被动 TCP 后门,只要在接收到的 TCP 数据包中检测到特制数据,就会依靠内核驱动程序将流量重定向到后门的隐藏 TCP 端口。”报告继续。
皮尔路易吉·帕格尼尼