Malware SprySOCKS Linux versi Windows digunakan untuk menyerang organisasi pemerintah

Varian Windows untuk malware SprySOCKS Linux telah digunakan dalam serangan yang menargetkan organisasi pemerintah di setidaknya empat negara.

SprySOCKS telah terhubung hingga kelompok ancaman Tiongkok ‘Earth Lusca’, yang mengerahkannya dalam serangan terhadap entitas pemerintah yang berfokus pada urusan luar negeri, teknologi, dan telekomunikasi.

Kini, peneliti ESET menemukan varian Windows dari keluarga malware yang sama yang digunakan antara tahun 2023 dan 2024 dalam serangan terhadap organisasi pemerintah di Taiwan, Thailand, Pakistan, dan Honduras.

ESET mengaitkan aktivitas tersebut dengan keyakinan tinggi kepada pelaku ancaman Earth Lusca, yang mereka lacak sebagai ‘FishMonger’ (juga ‘Aquatic Panda,’ ‘Red Dev 10,’ dan TAG-22).

Berbeda dengan versi Linux yang didokumentasikan sebelumnya, varian Windows menambahkan kemampuan siluman tingkat kernel yang memungkinkan operator menyembunyikan artefak malware dan berkomunikasi dengan pintu belakang melalui lalu lintas yang dialihkan dari port TCP sewenang-wenang.

Kedua varian tersebut adalah WIN_DRV, yang dilengkapi driver kernel untuk kemampuan seperti rootkit, dan WIN_PLUS, pintu belakang yang lebih sederhana.

Kedua varian menawarkan kemampuan berikut:

• Berkomunikasi melalui TCP, UDP, dan WebSocket
• Mendukung lebih dari 30 perintah perintah dan kontrol (C2).
• Kumpulkan informasi sistem
• Menghitung dan mengelola proses dan layanan
• Buat daftar, buat, hapus, unggah, unduh, salin, ganti nama, dan jalankan file
• Mendukung fungsionalitas proksi SOCKS
• Dapat beroperasi sebagai klien dan server
• Catat penekanan tombol, konten papan klip, dan judul jendela aktif

Varian WIN_DRV menyertakan fungsionalitas tambahan untuk memuat driver bernama ‘RawWNPF’ langsung ke memori.

Driver dimuat dari driver kernel lain bernama ‘DriverLoader’ (fsdiskbit.sys) yang ditandatangani menggunakan sertifikat yang bocor dari proyek GitHub PastDSE.

Driver memungkinkan malware menyembunyikan proses melalui manipulasi Windows API, menyembunyikan koneksi jaringan, menyembunyikan file dari daftar direktori, dan menyembunyikan entri kunci Registry berbahaya yang digunakannya untuk persistensi.

Kegigihan dicapai melalui tugas terjadwal dan Opsi Eksekusi File Gambar (IFEO) melalui vds.exe untuk WIN_DRV, dan mendaftarkan muatan sebagai Prosesor Cetak Windows (VSPMsg) untuk WIN_PLUS.

Fitur lain yang diamati memungkinkan pemeriksaan lalu lintas TCP yang masuk dan mengarahkan paket yang dibuat khusus ke pintu belakang SprySOCKS. Ini memungkinkan komunikasi tanpa mengekspos port mendengarkan.

“Versi WIN_DRV […] memungkinkan pengalihan lalu lintas TCP yang memungkinkan operator malware mengirimkan perintah ke pintu belakang melalui port TCP acak pada perangkat korban tanpa mengekspos port pendengaran sebenarnya dari pintu belakang tersebut dalam lalu lintas jaringan,” ESET menjelaskan.

Data telemetri ESET juga menunjukkan indikasi komponen bootkit UEFI yang mungkin mengeksploitasi CVE-2023-24932, sebuah kelemahan Boot Aman sebelumnya digunakan sebagai zero-day oleh malware BlackLotus UEFI.

Namun, tidak ada rincian lebih lanjut atau bukti kuat yang diberikan untuk mendukung tautan ke BlackLotus.

Laporan ESETS memberikan analisis teknis terperinci dan indikator kompromi yang dapat membantu organisasi mengidentifikasi dan melindungi dari serangan menggunakan pintu belakang SprySOCKS versi Windows.

Meskipun varian ini bukan hal baru, penemuan mereka menunjukkan bahwa Earth Lusca telah memperluas persenjataannya untuk menargetkan lebih banyak variasi sistem sungai.