Earth Lusca는 새로운 Linux Backdoor를 사용하고 측면 이동에 코발트 스트라이크를 사용 관련 IOC 11개 발견
2021년 초, 연구 논문을 발표해 중국과 관련된 위협 행위자의 운영을 추적하였고, 2023년 상반기까지 전 세계 국가를 대상으로 활동을 계속했다. 위협 액터의 배달 서버에서 흥미롭고 암호화된 파일을 탐지해 Virustotal에서 원래 로더를 찾아 해독하였고, 그 결과 새로운 리눅스 백도어 Sprysocks를 발견하였다. 이 백도어는 Open-Source Windows 백도어 Trochilus의 실행 루틴과 문자열을 바탕으로 새로운 Socket Secure (Socks) 구현을 포함하고 있었다.
2021년 초부터 중국과 관련된 위협 행위자를 추적해 2023년 상반기까지 전 세계 국가를 대상으로 활동을 계속하며, 위협 액터의 배달 서버에서 흥미롭고 암호화된 파일을 탐지해 해독하여 새로운 리눅스 백도어 Sprysocks를 발견하였다.
Trendmicro
Earth Lusca Employs New Linux Backdoor, Uses Cobalt Strike for Lateral Movement
In early 2021, research papers were published to track the operation of threats related to China, and continued to work for countries around the world until the first half of 2023.In the delivery server of the threat actor, he detected interesting and encrypted files and found the original loader in VirustOTAL, and as a result, he found a new Linux backdore Spriesocks.The backdoor included a new Socket Secure (Socks) implementation based on the execution routine and string of the Open-Source Windows Backdoor Trochilus.
From the beginning of 2021, the threats related to China were tracked and continued to be active in countries around the world until the first half of 2023, and the new Linux backdoor Spriesocks were found by detecting and detecting interesting and encrypted files on the delivery server of the threat actor.
https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html