安全公司趋势科技的研究人员披露了黑客组织 Earth Lusca 使用的全新 Linux 后门。研究人员自 2021 年以来一直跟踪 Earth Lusca,他们在其服务器上发现了一个加密二进制文件,通过 VirusTotal 搜索文件名 libmonitor.so.2,研究人员找到了一个可执行 Linux 文件 mkmon,它包含了可用于解密 libmonitor.so.2 的凭证。研究人员发现解密后的有效负荷是一个他们从未见过的 Linux 后门。主执行例行程序(routine)和字符串显示其源自开源 Windows 后门 Trochilus,有多个功能是专为 Linux 重新实现的。他们将该 Linux 后门命名为 SprySOCKS。它有版本号的标记,显示它还在开发之中。
https://www.trendmicro.com/en_ca/research/23/i/earth-lusca-employs-new-linux-backdoor.html