Η ομάδα hacking APT27, ευρύτερα γνωστή ως “Iron Tiger”, δημιούργησε μια νέα έκδοση Linux του κακόβουλου λογισμικού απομακρυσμένης πρόσβασης SysUpdate. Με αυτή την τροποποίηση, η κινεζική ομάδα κυβερνοκατασκοπείας μπορεί να στοχεύσει ένα ευρύτερο φάσμα επιχειρηματικών υπηρεσιών.
Σύμφωνα με μια νέα αναφορά της Trend Micro, οι χάκερ δοκίμασαν για πρώτη φορά την έκδοση Linux τον Ιούλιο του 2022. Παρ’ όλα αυτά, μόλις τον Οκτώβριο άρχισαν να διαδίδουν τα payloads τους.
Η νέα malware παραλλαγή είναι γραμμένη σε C++ χρησιμοποιώντας τη βιβλιοθήκη Asio και η λειτουργικότητά της μοιάζει πολύ με την έκδοση SysUpdate για Windows της ομάδας Iron Tiger.
Το περασμένο καλοκαίρι, η SEKOIA και η Trend Micro ανέφεραν ότι ο απειλητικός φορέας APT27 εντόπισε αυξημένο ενδιαφέρον για τη στόχευση συστημάτων πέραν των Windows. Αυτή η επίθεση χρησιμοποίησε ένα νέο backdoor με την ονομασία “rshell”. Είναι σαφές ότι έχουν μετατοπίσει την εστίασή τους ώστε να συμπεριλάβουν και συσκευές Linux και macOS.
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Η τελευταία καμπάνια της APT27
Η Trend Micro διεξήγαγε εξέταση της εκστρατείας SysUpdate και τα ευρήματά της αποκάλυψαν ότι δείγματα Windows και Linux αναπτύχθηκαν εναντίον νόμιμων στόχων.
Ένα από τα θύματα αυτής της καμπάνιας ήταν μια εταιρεία gaming στις Φιλιππίνες, η επίθεση της οποίας χρησιμοποίησε έναν command and control server καταχωρημένο με έναν domain παρόμοιο με το brand του θύματος.
Αν και η ακριβής προέλευση αυτής της μόλυνσης είναι άγνωστη, οι αναλυτές της Trend Micro πιστεύουν ότι οι εφαρμογές συνομιλίας χρησιμοποιήθηκαν για να εξαπατήσουν τους υπαλλήλους ώστε να κατεβάσουν κακόβουλα αρχεία.
Ένα στοιχείο που έχει εξελιχθεί σε σύγκριση με προηγούμενες καμπάνιες που βασίζονται στο SysUpdate είναι η διαδικασία φόρτωσης, η οποία χρησιμοποιεί πλέον ένα νόμιμο και ψηφιακά υπογεγραμμένο εκτελέσιμο “Microsoft Resource Compiler” (rc.exe) για την εκτέλεση DLL side-loading με rc.dll για τη φόρτωση του shellcode.
Δείτε επίσης: Η Dish Network επιβεβαιώνει ότι δέχτηκε επίθεση ransomware
Ο shellcode φορτώνει το πρώτο στάδιο του SysUpdate στη μνήμη, επομένως είναι δύσκολο για τα AV να ανιχνευθούν. Στη συνέχεια, μετακινεί τα απαιτούμενα αρχεία σε έναν hardcoded φάκελο και εδραιώνει το persistence με Registry modifications ή δημιουργώντας μια υπηρεσία, ανάλογα με τα δικαιώματα διεργασίας.
Το δεύτερο στάδιο θα ξεκινήσει μετά την επόμενη επανεκκίνηση του συστήματος για να αποσυμπιέσει και να φορτώσει το κύριο SysUpdate payload.
Με το ευρύ σύνολο χαρακτηριστικών του, το SysUpdate μπορεί να αποτελέσει απειλή για την ασφάλεια οποιουδήποτε, όταν πέσει σε λάθος χέρια.
Η Trend Micro ανακάλυψε ότι η ομάδα Iron Tiger χρησιμοποίησε ένα υπογεγραμμένο εκτελέσιμο αρχείο με το Wazuh στα επόμενα στάδια του sideloading, σε μια προσπάθεια να ενσωματωθεί στο περιβάλλον του θύματος, δεδομένου ότι ο εν λόγω οργανισμός-στόχος χρησιμοποιούσε μια έγκυρη πλατφόρμα Wazuh.
Δείτε επίσης: Xάκερ SCARLETEEL: Πως κλέβουν πηγαίο κώδικα και δεδομένα;
Νέα έκδοση Linux του SysUpdate
Η παραλλαγή Linux του SysUpdate είναι ένα εκτελέσιμο ELF και μοιράζεται κοινά κλειδιά κρυπτογράφησης δικτύου και λειτουργίες διαχείρισης αρχείων με το αντίστοιχο των Windows.
Το binary υποστηρίζει πέντε παραμέτρους που καθορίζουν τι πρέπει να κάνει το κακόβουλο λογισμικό στη συνέχεια: ρύθμιση persistence, daemonizing της διαδικασίας, ορισμός GUID (Globally Unique Identifier) για το μολυσμένο σύστημα κ.λπ.
Το malware αποκαθιστά το persistence αντιγράφοντας ένα script στον κατάλογο “/usr/lib/systemd/system/”, μια ενέργεια που απαιτεί δικαιώματα χρήστη root.
Κατά την εκκίνησή του, στέλνει τις ακόλουθες πληροφορίες στον διακομιστή C2:
- GUID (επιλέγεται τυχαία αν η παράμετρός της δεν είχε χρησιμοποιηθεί προηγουμένως)
- Host name
- Username
- Local IP διεύθυνση και θύρα που χρησιμοποιούνται για την αποστολή του αιτήματος
- Current PID
- Kernel έκδοση και αρχιτεκτονική μηχανής
- Τρέχον file path
- Boolean (0 αν ξεκίνησε με ακριβώς μία παράμετρο, 1 διαφορετικά)
Η παραλλαγή του Linux SysUpdate διαθέτει ένα αξιοσημείωτο νέο χαρακτηριστικό, το DNS tunneling, το οποίο έχει εντοπιστεί μόνο σε ένα δείγμα του κακόβουλου λογισμικού για Windows μέχρι στιγμής.
Το SysUpdate λαμβάνει πληροφορίες DNS από το αρχείο “/etc/resolv.conf” για να ανακτήσει την προεπιλεγμένη διεύθυνση IP του συστήματος DNS που μπορεί να χρησιμοποιηθεί για την αποστολή και λήψη ερωτημάτων DNS. Εάν αυτό αποτύχει, χρησιμοποιεί τον DNS server της Google στην 8.8.8.8.
Χρησιμοποιώντας αυτό το σύστημα, μπορεί κανείς να παρακάμψει τυχόν firewall ή εργαλεία ασφαλείας που έχουν ρυθμιστεί ώστε να δέχονται κυκλοφορία μόνο από μια λευκή λίστα διευθύνσεων IP.
Δείτε επίσης: Η Aruba Networks διορθώνει έξι κρίσιμες ευπάθειες στο ArubaOS
Με βάση την επιλογή της Asio Library για την ανάπτυξη της παραλλαγής του SysUpdate για Linux, η Trend Micro υποθέτει ότι αυτή η φορητότητα πολλαπλών πλατφορμών θα οδηγήσει πιθανότατα σε έκδοση για macOS στο εγγύς μέλλον.
Πηγή πληροφοριών: bleepingcomputer.com