中國駭客Earth Lusca打造惡意軟體SprySOCKS變種，於政府機關從事攻擊活動

資安公司ESET指出，他們發現中國駭客組織Earth Lusca（TAG-22、Aquatic Panda、FishMonger），將原本針對Linux環境的後門程式SprySOCKS，開發出衍生的Windows版本，他們起初在VirusTotal發現惡意檔案，進一步比對遙測資料，結果這些駭客在2023至2024年用於攻擊行動，受害組織主要是政府機關，範圍涵蓋臺灣、宏都拉斯、泰國和巴基斯坦。

ESET一共看到兩種Windows版的SprySOCKS變種，駭客命名為WIN_DRV與WIN_PLUS，兩者都嵌入寫死的（Hardcoded）C2組態設定，支援TCP、UDP、WebSocket通訊協定，攻擊者可下達超過30種命令，涵蓋系統資訊收集、列出正在執行的所有處理程序，以及對受害電腦的檔案管理能力。其中又以WIN_DRV較為特別，此惡意程式內建核心驅動程式RawWNPF，可隱藏後門的網路連線、執行程序、相關檔案及機碼，並啟用TCP流量轉發功能，使攻擊者無需知道後門真實監聽連接埠，即可透過受害裝置電腦開放的任何TCP埠發送指令。

值得留意的是，在部分活動裡，SprySOCKS攻擊情境疑似涉及UEFI開機流程，駭客有可能利用CVE-2023-24932繞過安全開機防護機制。