新型 Linux 恶意软件 SprySOCKS 涉及网络间谍攻击

关键要点

国家网络攻击：不同政府机构，特别是中亚、东南亚和巴尔干地区，受到中国网络间谍组织地球卢斯卡的攻击。利用漏洞：该组织利用2019至2022年间的多种未授权远程代码执行漏洞进行攻击。恶意加载器：SprySOCKS 加载器伪装为 Linux 内核工作线程，以规避检测。功能多样：SprySOCKS 支持网络连接列出、SOCKS 代理配置管理及常规文件操作。

根据 BleepingComputer，最近的网络安全报告指出，全球的多个政府机构，尤其是从事电信、技术以及对外事务的机构，正遭遇来自中国网络间谍组织地球卢斯卡的攻击。特别是中亚、东南亚和巴尔干地区的目标受到影响。在2023年上半年，这些攻击使用了新型的 Linux 后门 SprySOCKS。

根据 Trend Micro 的报告，地球卢斯卡利用多种2019年至2022年的未授权远程代码执行漏洞，促进了可用于远程网络访问的 Cobalt Strike 信标的传播，并交付 SprySOCKS 加载器。这种加载器伪装成 Linux 内核工作线程，从而规避检测，并继续进行 SprySOCKS 的解密。SprySOCKS 使用 HPSocket 网络框架，通过 AESECB 加密与其指挥与控制中心进行通信。

功能描述

以下是 SprySOCKS 的一些主要功能：

水母加速器手机版功能描述系统数据收集收集被感染系统的相关数据PTY 子系统交互命令行启动启动能够与系统进行交互的命令行网络连接列出列出所有当前的网络连接SOCKS 代理配置管理管理 SOCKS 代理的设置常规文件操作执行文件的基本操作

研究人员强烈建议，及时修复相关漏洞，以避免系统受到更进一步的侵害。此次攻击表明，国家级网络间谍活动的威胁依然存在，相关机构应加强网络安全防护。