بکدور جدیدی که در سیستم عامل ویندوز دیده شد، Trochilus نام داشت که ابتدا در سال ۲۰۱۵ و توسط محققان Arbor Network دیده شد و حالا Netscout نام دارد و به سیستم عامل لینوکس آمده است.
به گفته آنها، حالا Trochilus به عنوان خطر شناخته نمیشود، تنها در حافطه اجرا میشود و آخرین پی لود هیچوقت در دیسک نمایش داده نمیشود. در ادامه گفتههای این گروه، حالا یافتن این بدافزار دشوار است و توسط یکی از گروههای نرم افزاری که سایر کاربران را تهدید میکند و به دولت چین نیز متصل است ساخته شده است.
در ماه ژوئن، محققان شرکت امنیتی Trend Micro فایل باینری رمزگشایی شده را روی سروری پیدا کردند که توسط گروهی از سال ۲۰۲۱ ردیابی می شد. محققان با جستجوی نام Virus Total برای دسترسی به Libmonitor. so.2 رسیدند.
در ادامه، فایل اجرایی لینوکس به نام Mkmon حاوی اعتبارنامهای است که میتوان از طریق آن فایل Libmonitor.so.2 را باز کرد و همینطور بازیابی کرد. بدافزار لینوکس به چندین قابلیت موجود در Trochilus تجهیز شده است. در نهایت، محققان Trend Micro نام کشف خود را Spry Socks گذاشتند که Spry به معنی عملکرد سریع آن است.
SprySocks عملکردهای معمولیه Backdoor مانند: جمع آوری داده، اطلاعات سیستم، بازکردن پوسته سیستم عامل از راه دور و فهرست کردن اتصالات شبکه و ایجاد پراکسی براساس پروتکل Socks دور را انجام میدهد.
نظرات