SysUpdate malware znovu zasahuje s verzí pro Linux a novou taktikou úniku

Hacker známý jako Lucky Mouse vyvinul linuxovou verzi malwarové sady nástrojů s názvem SysUpdate, která rozšiřuje svou schopnost cílit na zařízení s operačním systémem.

Nejstarší verze aktualizovaného artefaktu pochází z července 2022, přičemž malware obsahuje nové funkce navržené tak, aby se vyhnuly bezpečnostnímu softwaru a odolávaly zpětnému inženýrství.

Společnost Trend Micro uvedla, že ekvivalentní variantu Windows zaznamenala v červnu 2022, téměř měsíc poté, co byla zřízena infrastruktura příkazů a řízení (C2).

Lucky Mouse je také sledován pod přezdívkami APT27, Bronze Union, Emissary Panda a Iron Tiger a je známo, že využívá celou řadu malwaru, jako je SysUpdate, HyperBro, PlugX a linuxový backdoor zvaný rshell.

Během posledních dvou let kampaně organizované skupinou zahrnovaly kompromitace dodavatelského řetězce legitimních aplikací, jako je Able Desktop a MiMi Chat, s cílem získat vzdálený přístup k ohroženým systémům.

V říjnu 2022 Intrinsec podrobně popsal útok na francouzskou společnost, který využil zranitelnosti ProxyLogon na serveru Microsoft Exchange Server k dodání HyperBro jako součásti měsíce dlouhé operace, která exfiltrovala „gigabajty dat“.

Mezi cíle nejnovější kampaně patří hazardní společnost na Filipínách, což je sektor, který se od roku 2019 opakovaně dostává pod nápor Iron Tiger.

Přesný vektor infekce použitý při útoku není jasný, ale náznaky ukazují na použití instalačních programů vydávajících se za aplikace pro zasílání zpráv, jako je Youdu, jako návnady k aktivaci sekvence útoku.

Pokud jde o verzi SysUpdate pro Windows, přichází s funkcemi pro správu procesů, pořizování snímků obrazovky, provádění operací se soubory a provádění libovolných příkazů. Je také schopen komunikovat se servery C2 prostřednictvím požadavků DNS TXT, což je technika známá jako DNS Tunneling.

Tento vývoj je také prvním případem, kdy byl detekován aktér využívající zranitelnost bočního načítání ve spustitelném souboru podepsaném Wazuh pro nasazení SysUpdate na počítačích s Windows.

Ukázky Linux ELF, napsané v C++, jsou pozoruhodné tím, že používají knihovnu Asio k portování funkcí pro manipulaci se soubory, což naznačuje, že protivník chce pro malware přidat podporu napříč platformami.

Vzhledem k tomu, že rshell je již schopen běžet na Linuxu a macOS, nelze vyloučit možnost, že by SysUpdate mohl mít v budoucnu příchuť macOS.

Dalším nástrojem, který stojí za zmínku, je vlastní nástroj pro ukládání hesel a souborů cookie pro Chrome, který přichází s funkcemi pro získávání souborů cookie a hesel uložených ve webovém prohlížeči.

“Toto vyšetřování potvrzuje, že Iron Tiger pravidelně aktualizuje své nástroje, aby přidával nové funkce a pravděpodobně usnadnil jejich přenositelnost na jiné platformy,” řekl bezpečnostní výzkumník Daniel Lunghi a dodal, že “potvrzuje zájem tohoto aktéra hrozeb o hazardní průmysl a region jihovýchodní Asie.”

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS

Napsat komentář

Generated by Feedzy