ESET: Windows-Varianten von SprySOCKS bei Angriffen auf Regierungsstellen in vier Ländern eingesetzt

Zusammenfassung

Die bislang vor allem als Linux-Malware bekannte Hintertür SprySOCKS existiert auch in Windows-Versionen und wurde laut ESET zwischen 2023 und 2024 bei Angriffen auf Regierungsorganisationen in Taiwan, Thailand, Pakistan und Honduras eingesetzt. ESET schreibt die Aktivität mit hoher Sicherheit der chinesischen Gruppe Earth Lusca zu, die das Unternehmen als FishMonger verfolgt und die auch unter den Namen Aquatic Panda, Red Dev 10 und TAG-22 bekannt ist. Nach Angaben der Forscher richteten sich die Angriffe gegen Behörden mit Bezug zu Außenpolitik, Technologie und Telekommunikation. Technisch unterscheiden sich die Windows-Varianten deutlich von der zuvor dokumentierten Linux-Version: Sie bringen Tarnfunktionen auf Kernel-Ebene mit, können Spuren der Malware verbergen und die Kommunikation mit der Hintertür über umgeleiteten TCP-Verkehr abwickeln. Dadurch lässt sich ein Befehlskanal nutzen, ohne den tatsächlichen lauschenden Port offen im Netzwerkverkehr sichtbar zu machen.

ESET hat zwei Windows-Varianten der Malware-Familie identifiziert: WIN_DRV und WIN_PLUS. WIN_DRV nutzt Kernel-Treiber für rootkit-ähnliche Funktionen, während WIN_PLUS als schlankere Hintertür beschrieben wird. Beide Varianten wurden laut den Forschern in Kampagnen eingesetzt, die ESET mit hoher Sicherheit Earth Lusca beziehungsweise FishMonger zuordnet.

Eine zentrale Erweiterung gegenüber der Linux-Version ist die Tarnung auf Kernel-Ebene. Nach Angaben von ESET kann WIN_DRV einen Treiber namens RawWNPF direkt in den Arbeitsspeicher laden. Geladen wird dieser über einen weiteren Kernel-Treiber namens DriverLoader, also fsdiskbit.sys, der mit einem geleakten Zertifikat aus dem GitHub-Projekt PastDSE signiert wurde.

Der Treiber soll es der Malware ermöglichen, Prozesse durch Manipulation der Windows-API zu verbergen, Netzwerkverbindungen unsichtbar zu machen, Dateien aus Verzeichnisauflistungen auszublenden und schädliche Registry-Schlüssel zu verstecken, die für die Persistenz verwendet werden. Für diese dauerhafte Verankerung beobachtete ESET bei WIN_DRV geplante Aufgaben sowie Image File Execution Options über vds.exe. WIN_PLUS erreicht Persistenz dem Bericht zufolge, indem die Schadkomponente als Windows-Print-Processor mit dem Namen VSPMsg registriert wird.

Hinzu kommt ein Mechanismus zur verdeckten Kommunikation. ESET zufolge kann die Malware eingehenden TCP-Verkehr prüfen und speziell präparierte Pakete an die SprySOCKS-Hintertür umleiten. Das erlaubt den Angreifern, Befehle an die Backdoor über einen beliebigen TCP-Port auf dem kompromittierten System zu senden, ohne den echten lauschenden Port im Netzwerkverkehr sichtbar zu machen. ESET beschreibt das als eine Umleitung von TCP-Datenverkehr, die den Kommandokanal verschleiert.

Außerdem verweisen die Telemetriedaten von ESET auf Anzeichen einer UEFI-Bootkit-Komponente, die möglicherweise CVE-2023-24932 ausnutzt. Dabei handelt es sich um eine Secure-Boot-Schwachstelle, die zuvor von der UEFI-Malware BlackLotus als Zero-Day verwendet wurde. ESET liefert dafür allerdings keine weitergehenden Details und nach eigenem Bekunden auch keine belastbaren Belege für eine Verbindung zu BlackLotus.

SprySOCKS war bereits zuvor mit Earth Lusca in Verbindung gebracht worden. Die Gruppe setzte die Linux-Version laut Quelltext bei Angriffen auf Regierungsstellen ein, die sich mit Außenpolitik, Technologie und Telekommunikation befassen. Die nun entdeckten Windows-Versionen zeigen nach Einschätzung von ESET, dass Earth Lusca sein Arsenal auf eine breitere Vielfalt von Systemen ausgeweitet hat.

Der Bericht von ESET enthält eine technische Detailanalyse sowie Kompromittierungsindikatoren, mit denen Organisationen Angriffe mit den Windows-Versionen der SprySOCKS-Hintertür erkennen und sich dagegen absichern können.

ESET: Windows-Varianten von SprySOCKS bei Angriffen auf Regierungsstellen in vier Ländern eingesetzt

Ähnliche Artikel

Neueste Artikel