📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram duas variantes do Windows anteriormente não documentadas do que se acreditava ser um backdoor exclusivo para Linux chamado SprySOCKS.
“As variantes do Windows descobertas são marcadas internamente como WIN_DRV e WIN_PLUS”, disse a ESET em um relatório compartilhado com o The Hacker News. "Ambos vêm com uma configuração C&C [comando e controle] codificada e suportam comunicação através dos protocolos TCP, UDP e WebSocket."
Assim como sua contraparte Linux, as versões Windows suportam mais de 30 comandos para facilitar a coleta de informações do sistema, enumeração de processos, gerenciamento de serviços e operações do sistema de arquivos. Descobriu-se também que o WIN_DRV utiliza drivers de kernel para ocultar as conexões de rede, processos, arquivos e chaves de registro do malware.
Além disso, a variante permite o desvio de tráfego TCP que permite aos operadores de malware enviar comandos para o backdoor através de uma porta TCP aleatória no dispositivo da vítima sem expor a porta de escuta real do backdoor no tráfego de rede.
SprySOCKS foi documentado publicamente pela primeira vez pela Trend Micro em setembro de 2023, atribuindo seu uso a um ator de ameaça patrocinado pelo estado do nexo da China conhecido como Earth Lusca, que também é rastreado pela comunidade de segurança cibernética sob os nomes Aquatic Panda, Bronze University, Charcoal Typhoon e RedHotel. O adversário está avaliado como ativo desde pelo menos 2021 e operado por um empreiteiro chinês chamado i-Soon.
O fornecedor eslovaco de segurança cibernética, que atribuiu o nome FishMonger ao grupo de ameaças, descreveu-o como um grupo de espionagem cibernética que se enquadra no âmbito mais amplo do Winnti. Num relatório publicado em março de 2025, a empresa vinculou o grupo de hackers a uma campanha global chamada Operação FishMedley, visando sete organizações em Taiwan, Hungria, Turquia, Tailândia, França e EUA entre janeiro e outubro de 2022.
O SprySOCKS é baseado em um trojan de acesso remoto do Windows chamado Trochilus e compartilha várias características comuns com o RedLeaves, um backdoor que também exibe extensas sobreposições de código-fonte com o Trochilus. Além do mais, o uso do Trochilus está ligado a outro ator de ameaça chinês conhecido como Webworm, que, por sua vez, tem pontos em comum com o FishMonger e o SixLittleMonkeys.
Cadeia de execução WIN_DRV
As variantes do Windows fazem parte da versão 1.8 do SprySOCKS, com o exemplo WIN_DRV usando um driver de kernel conhecido como RawWNPF ("KW1B5206BDC1743FP.dat") para furtividade avançada, mantendo a funcionalidade presente na variante Linux. O driver é carregado usando outro driver de kernel criptografado chamado DriverLoader ("KX1B5206BDC1743DD.dat").
A cadeia de ataque faz uso de um caminho de acesso inicial ainda indeterminado para descartar um script em lote, que então cria e executa uma tarefa agendada responsável por acionar uma cadeia de carregamento lateral de DLL que descarta o backdoor SprySOCKS e os componentes do driver. No entanto, é importante notar que o grupo já explorou falhas de segurança de N dias em instâncias públicas do Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI e Zimbra para obter uma posição segura.
“A versão Windows mantém a maior parte da arquitetura central de seu antecessor Linux – incluindo o protocolo C&C, criptografia usada e lógica geral de manipulação de comandos – enquanto substitui mecanismos nativos do Windows quando necessário e melhora a furtividade do backdoor, trazendo os drivers do kernel para o jogo”, disse o pesquisador da ESET Martin Smolár.
Cadeia de execução WIN_PLUS
“As diferenças mais notáveis podem ser detectadas na forma como o backdoor final é carregado, na furtividade aprimorada e nos nomes e caminhos dos componentes usados.
O esquema de execução WIN_PLUS, por outro lado, adota uma abordagem diferente. Ele aproveita o serviço Windows Print Spooler ("spoolsv.exe") como ponto de partida para executar um carregador de primeiro estágio que funciona como um processador de impressão. Ele foi projetado para injetar e executar um carregador SprySOCKS em um processo “svchost.exe” recém-criado para iniciar o backdoor.
Ambas as variantes WIN_DRV e WIN_PLUS do SprySOCKS são DLLs que suportam três canais para comunicações C2 sobre TCP, UDP e WebSocket e executam comandos emitidos pelo operador no host comprometido. Isso inclui coletar informações do sistema, iniciar um console interativo, enumerar processos, obter detalhes de comunicação C2, listar todos os serviços, inicializar um proxy SOCKS, fazer upload/download de arquivos e executar arquivos existentes.
As evidências indicam que os artefactos podem ter sido utilizados entre 2023 e 2024 em ataques contra organizações governamentais nas Honduras, Taiwan, Tailândia e Paquistão. A versão WIN_PLUS foi detectada pela primeira vez em julho de 2024 em um dispositivo da vítima geolocalizado no Paquistão.
Além do mais, existem “indicações limitadas” sugerindo o envolvimento de um bootkit UEFI, provavelmente explorando CVE-2023-24932 (CVS
“As variantes do Windows descobertas são marcadas internamente como WIN_DRV e WIN_PLUS”, disse a ESET em um relatório compartilhado com o The Hacker News. "Ambos vêm com uma configuração C&C [comando e controle] codificada e suportam comunicação através dos protocolos TCP, UDP e WebSocket."
Assim como sua contraparte Linux, as versões Windows suportam mais de 30 comandos para facilitar a coleta de informações do sistema, enumeração de processos, gerenciamento de serviços e operações do sistema de arquivos. Descobriu-se também que o WIN_DRV utiliza drivers de kernel para ocultar as conexões de rede, processos, arquivos e chaves de registro do malware.
Além disso, a variante permite o desvio de tráfego TCP que permite aos operadores de malware enviar comandos para o backdoor através de uma porta TCP aleatória no dispositivo da vítima sem expor a porta de escuta real do backdoor no tráfego de rede.
SprySOCKS foi documentado publicamente pela primeira vez pela Trend Micro em setembro de 2023, atribuindo seu uso a um ator de ameaça patrocinado pelo estado do nexo da China conhecido como Earth Lusca, que também é rastreado pela comunidade de segurança cibernética sob os nomes Aquatic Panda, Bronze University, Charcoal Typhoon e RedHotel. O adversário está avaliado como ativo desde pelo menos 2021 e operado por um empreiteiro chinês chamado i-Soon.
O fornecedor eslovaco de segurança cibernética, que atribuiu o nome FishMonger ao grupo de ameaças, descreveu-o como um grupo de espionagem cibernética que se enquadra no âmbito mais amplo do Winnti. Num relatório publicado em março de 2025, a empresa vinculou o grupo de hackers a uma campanha global chamada Operação FishMedley, visando sete organizações em Taiwan, Hungria, Turquia, Tailândia, França e EUA entre janeiro e outubro de 2022.
O SprySOCKS é baseado em um trojan de acesso remoto do Windows chamado Trochilus e compartilha várias características comuns com o RedLeaves, um backdoor que também exibe extensas sobreposições de código-fonte com o Trochilus. Além do mais, o uso do Trochilus está ligado a outro ator de ameaça chinês conhecido como Webworm, que, por sua vez, tem pontos em comum com o FishMonger e o SixLittleMonkeys.
Cadeia de execução WIN_DRV
As variantes do Windows fazem parte da versão 1.8 do SprySOCKS, com o exemplo WIN_DRV usando um driver de kernel conhecido como RawWNPF ("KW1B5206BDC1743FP.dat") para furtividade avançada, mantendo a funcionalidade presente na variante Linux. O driver é carregado usando outro driver de kernel criptografado chamado DriverLoader ("KX1B5206BDC1743DD.dat").
A cadeia de ataque faz uso de um caminho de acesso inicial ainda indeterminado para descartar um script em lote, que então cria e executa uma tarefa agendada responsável por acionar uma cadeia de carregamento lateral de DLL que descarta o backdoor SprySOCKS e os componentes do driver. No entanto, é importante notar que o grupo já explorou falhas de segurança de N dias em instâncias públicas do Fortinet, GitLab, Microsoft Exchange Server, Progress Telerik UI e Zimbra para obter uma posição segura.
“A versão Windows mantém a maior parte da arquitetura central de seu antecessor Linux – incluindo o protocolo C&C, criptografia usada e lógica geral de manipulação de comandos – enquanto substitui mecanismos nativos do Windows quando necessário e melhora a furtividade do backdoor, trazendo os drivers do kernel para o jogo”, disse o pesquisador da ESET Martin Smolár.
Cadeia de execução WIN_PLUS
“As diferenças mais notáveis podem ser detectadas na forma como o backdoor final é carregado, na furtividade aprimorada e nos nomes e caminhos dos componentes usados.
O esquema de execução WIN_PLUS, por outro lado, adota uma abordagem diferente. Ele aproveita o serviço Windows Print Spooler ("spoolsv.exe") como ponto de partida para executar um carregador de primeiro estágio que funciona como um processador de impressão. Ele foi projetado para injetar e executar um carregador SprySOCKS em um processo “svchost.exe” recém-criado para iniciar o backdoor.
Ambas as variantes WIN_DRV e WIN_PLUS do SprySOCKS são DLLs que suportam três canais para comunicações C2 sobre TCP, UDP e WebSocket e executam comandos emitidos pelo operador no host comprometido. Isso inclui coletar informações do sistema, iniciar um console interativo, enumerar processos, obter detalhes de comunicação C2, listar todos os serviços, inicializar um proxy SOCKS, fazer upload/download de arquivos e executar arquivos existentes.
As evidências indicam que os artefactos podem ter sido utilizados entre 2023 e 2024 em ataques contra organizações governamentais nas Honduras, Taiwan, Tailândia e Paquistão. A versão WIN_PLUS foi detectada pela primeira vez em julho de 2024 em um dispositivo da vítima geolocalizado no Paquistão.
Além do mais, existem “indicações limitadas” sugerindo o envolvimento de um bootkit UEFI, provavelmente explorando CVE-2023-24932 (CVS
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #backdoor #sprysocks #vinculado #à #china #se #expande #para #windows #com #furtividade #baseada #em #driver
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário