SprySOCKS backdoor
Az ESET kutatása szerint a kínai állami érdekekkel összefüggésbe hozott FishMonger (Earth Lusca, Aquatic Panda) APT-csoport jelentősen továbbfejlesztette a korábban kizárólag Linux rendszereken használt SprySOCKS backdoort. A kutatók két eddig nem dokumentált Windows-változatot azonosítottak (WIN_DRV és WIN_PLUS), amelyeket kormányzati szervezetek ellen használtak többek között Tajvanon, Thaiföldön, Pakisztánban és Hondurasban. A fejlesztés arra utal, hogy a csoport immár teljes értékű, többplatformos kiberkémkedési képességgel rendelkezik.
A legérdekesebb változat a WIN_DRV, amely a hagyományos felhasználói szintű malware-ek helyett kernelmódú komponenseket alkalmaz a rejtőzködés érdekében. A támadók két titkosított drivert használnak, az egyik betölti a második komponenst, amely közvetlenül a Windows kernelben működik. Ez a driver képes elrejteni a malware folyamatait, fájljait és egyes műveleteit a biztonsági termékek elől, például a NtQuerySystemInformation rendszerhívás manipulálásával eltávolítja a rosszindulatú folyamatokat a rendszer által visszaadott folyamatlistából.
Az ESET szerint a DriverLoader egy kiszivárgott digitális tanúsítvánnyal volt aláírva, amely egy nyílt forrású projektből származott. Ez lehetővé tette a driver betöltését egyes elavult vagy hibásan konfigurált rendszereken anélkül, hogy a támadóknak újabb kernel-szintű sérülékenységet kellett volna kihasználniuk. A megközelítés jól mutatja a kínai APT-csoportokra jellemző pragmatikus szemléletet, nem feltétlenül a legösszetettebb technikát alkalmazzák, hanem azt, amely a legkisebb kockázattal biztosítja a kívánt hozzáférést.
A kezdeti behatolási módszer ebben a kampányban nem ismert, de az ESET szerint a FishMonger korábban rendszeresen használt nem javított vagy hibásan konfigurált internetes szervereket elsődleges belépési pontként. A kutatók emellett korlátozott jeleket találtak arra is, hogy egyes fertőzések során UEFI-szintű komponens is megjelenhetett, amely akár a CVE-2023-24932 Secure Boot megkerülésével kapcsolatos technikákkal is összefügghetett. Bár erre nincs teljes bizonyíték, az eset arra utal, hogy a csoport a hagyományos backdoorok mellett egyre mélyebb rendszerkompromittálási módszereket is vizsgál.
A FishMonger korábban főként Linux-alapú infrastruktúrák ellen ismert eszközkészletét sikeresen átültette Windows környezetbe, ráadásul kernel-szintű rejtőzködési funkciókkal egészítette ki. Ez a fejlesztés különösen a kormányzati és kritikus infrastruktúrákat üzemeltető szervezetek számára jelent kockázatot, mivel a kompromittálás észlelése lényegesen nehezebbé válik, ha maga a malware képes manipulálni az operációs rendszer által szolgáltatott információkat.
