SprySOCKS

SprySOCKSはバックドア型マルウェアです。
Earth Luscaと呼ばれる脅威アクターがいくつもの地域で活動していることが確認されています。
その活動の中で、このSprySOCKSが使用されています。
SprySOCKSの設置に至る流れを見てみましょう。

• 公開されているサービスで脆弱性がそのままのものを探す
  いくつもの脆弱性を想定し、それが残ったままの公開サービスを探します。
  CVE-2022-40684のあるままのFortiOS、CVE-2019-18935のあるままのASP.NET、CVE-2019-9670やCVE-2019-9621のあるままのZimbra Collaboration Suite、といった具合です。
  これら以外の脆弱性も対象になっているものがあります。
• 脆弱性を悪用し、Cobalt Strikeビーコンを設置する
  リモートコード実行などの脆弱性を悪用することで、侵害先環境にCobalt Strikeビーコンを設置します。
  この時点ですでに結構自由な活動ができる状態となってしまいます。
  ファイルの抽出、アカウント資格情報の窃取、 ShadowPadやLinux版Winntiなどの追加のペイロードの展開が実施可能です。
• mandibuleを投入する
  Cobalt Strikeビーコンはmandibuleを投入します。
  mandibuleはローダーです。
  プロセス情報で見る名称はLinuxカーネルのワーカースレッドに見える文字列となっていますが、ptsがアサインされています。
  通常のLinuxカーネルのワーカースレッドにはそのようなものはないのですが、mandibuleのプロセスはsshやtelnetで接続時に標準入出力先デバイスとすることでターミナル上に文字の表示をしたりすることができます。
• SprySOCKSを投入する
  mandibuleはSprySOCKSを投入します。
  外部から持ち込んだバイナリを復号化すると出てくるのがSprySOCKSです。
  いくつもの機能を持つバックドアが設置されます。
  システム情報収集機能、対話型シェル機能、ネットワーク接続のリスト取得機能、SOCKSプロキシ機能、各種ファイル操作機能、などが実行できます。
  SprySOCKSはC2との通信で操作されますが、その通信はAES-ECBで暗号化されています。

この攻撃の過程には、被害者の介入は必要とされていません。
脆弱性の残った状態のままの公開サービスが攻撃者に見つけられてしまうと攻撃が成り立ってしまいます。
この脅威に対策することは技術的に難しいものではないといえます。
計画的にタイムリーに、脆弱性対策の実施された環境を維持していくとしましょう。

参考記事（外部リンク）：Earth Lusca Employs New Linux Backdoor, Uses Cobalt Strike
for Lateral Movement
www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html