Trend Microは9月18日(米国時間)、「Earth Lusca Employs New Linux Backdoor, Uses Cobalt Strike for Lateral Movement」において、Linuxを標的とした新しいマルウェア「SprySOCKS」を発見したと報じた。SprySOCKSはオープンソースのWindowsバックドア「Trochilus」に由来し、一部の機能がLinux向けに修正されているという。
Trend Microは2021年初頭に中国関連の脅威グループ「Earth Lusca」を追跡していた。この脅威グループの活動は現在も継続しており、2023年前半には世界を対象に活動を拡大しているとされる。この脅威グループの活動を継続して監視していたTrend Microは、脅威グループの配信サーバ上に興味深い暗号化されたファイルを見つけ、このファイルの入手に成功したという。この暗号化されたファイル用のローダを見つけることにも成功し、このローダにより復号を実現したとのこと。
復号されたファイルはこれまでに見たことがないLinuxを標的としたバックドアで、Windows向けのバックドアTrochilusに由来しているとみられることに加え、バックドア内の新しいSocket Secure(SOCKS)実装にちなんで「SprySOCKS」と名付けられている。
Trend MicroはSprySOCKSが展開されるまでの侵害の流れと、SprySOCKSローダのmkmonおよびSprySOCKSの詳細な解析結果を報じている。この解析結果によると、SprySOCKSにはシステム情報の窃取、対話型シェルの実行、ネットワーク接続一覧の窃取、SOCKSプロキシの作成、ファイルのアップロードとダウンロード、ファイルの基本的な操作などの機能があるとされる。
「Earth Lusca」は既知の脆弱性を悪用して公開サーバに侵入しマルウェアを展開するとされる。このため、サーバ管理者は既知の脆弱性からシステムを保護するために、定期的にパッチを適用してシステムとアプリケーションを常に最新の状態に維持することが望まれている。