03.03.2023 | Хакеры Iron Tiger распространяют Linux-версию своей вредоносной программы SysUpdate |
Хакерская группа APT27, также известная как «Iron Tiger» («Железный Тигр»), подготовила новую версию своей вредоносной программы SysUpdate для Linux . Программа удаленного доступа позволяет злоумышленникам нацеливаться на большее количество служб, используемых на предприятии. Согласно новому отчету Trend Micro, хакеры впервые протестировали версию ПО для Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали появляться в дикой природе (ITW). Новый вариант вредоноса написан на C++ с использованием библиотеки Asio. И его функционал, в целом, очень похож на Windows-версию SysUpdate. Заинтересованность злоумышленника в расширении масштабов атак за пределы Windows стала очевидной прошлым летом, когда компании SEKOIA и Trend Micro сообщили ( 1 , 2 ), что хакеры Iron Tiger атаковали Linux и macOS системы с использованием нового бэкдора под названием «rshell». В последней кампании Iron Tiger с использованием SysUpdate злоумышленниками были развернуты образцы вредоносов на системы Windows и Linux. Одной из жертв этой кампании стала игорная компания на Филиппинах, в атаке на которую использовался C2-сервер , зарегистрированный в домене, похожем на бренд жертвы, что сделало весьма неочевидным выявление кибератаки. Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что чат-приложения использовались в качестве приманки, чтобы обманным путем заставить сотрудников загрузить первоначальную полезную нагрузку заражения. Процесс загрузки SysUpdate в некотором роде эволюционировал с прошлых вредоносных кампаний. Теперь хакеры используют законный исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL ( DLL Sideloading ). Шелл-код загружает первую стадию SysUpdate в оперативную память, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в запрограммированную папку системы и устанавливает постоянство путём изменения реестра или путем добавления отдельной службы, в зависимости от разрешений процесса. Второй этап запускается после следующей перезагрузки системы, чтобы распаковать и загрузить основную полезную нагрузку SysUpdate.
Цепочка заражения SysUpdate SysUpdate — это многофункциональный инструмент удаленного доступа, позволяющий злоумышленнику выполнять различные вредоносные действия, перечисленные ниже:
Вариант SysUpdate для Linux представляет собой исполняемый файл ELF и использует общие ключи сетевого шифрования и функции обработки файлов со своим аналогом для Windows. Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка постоянства, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т.д. Одной из новых функций варианта SysUpdate для Linux является туннелирование DNS. Вредонос получает информацию о DNS из файла «/etc/resolv.conf», чтобы извлечь IP-адрес системного DNS по умолчанию, который может использоваться для отправки и получения DNS-запросов. Если это не удается, вредонос использует DNS-сервер Google по адресу 8.8.8.8. Такая система может помочь вредоносу обойти брандмауэры или инструменты сетевой безопасности, которые могут быть настроены на блокировку всего трафика за пределами определенного списка разрешенных IP-адресов. Trend Micro заявляет, что выбор библиотеки Asio для разработки Linux-версии SysUpdate может быть связан с её многоплатформенной переносимостью, и прогнозирует, что версия SysUpdate для macOS тоже может скоро появиться в дикой природе. |
Проверить безопасность сайта