Бесплатно Экспресс-аудит сайта:

03.03.2023

Хакеры Iron Tiger распространяют Linux-версию своей вредоносной программы SysUpdate

Хакерская группа APT27, также известная как «Iron Tiger» («Железный Тигр»), подготовила новую версию своей вредоносной программы SysUpdate для Linux . Программа удаленного доступа позволяет злоумышленникам нацеливаться на большее количество служб, используемых на предприятии.

Согласно новому отчету Trend Micro, хакеры впервые протестировали версию ПО для Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали появляться в дикой природе (ITW).

Новый вариант вредоноса написан на C++ с использованием библиотеки Asio. И его функционал, в целом, очень похож на Windows-версию SysUpdate.

Заинтересованность злоумышленника в расширении масштабов атак за пределы Windows стала очевидной прошлым летом, когда компании SEKOIA и Trend Micro сообщили ( 1 , 2 ), что хакеры Iron Tiger атаковали Linux и macOS системы с использованием нового бэкдора под названием «rshell».

В последней кампании Iron Tiger с использованием SysUpdate злоумышленниками были развернуты образцы вредоносов на системы Windows и Linux.

Одной из жертв этой кампании стала игорная компания на Филиппинах, в атаке на которую использовался C2-сервер , зарегистрированный в домене, похожем на бренд жертвы, что сделало весьма неочевидным выявление кибератаки.

Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что чат-приложения использовались в качестве приманки, чтобы обманным путем заставить сотрудников загрузить первоначальную полезную нагрузку заражения.

Процесс загрузки SysUpdate в некотором роде эволюционировал с прошлых вредоносных кампаний. Теперь хакеры используют законный исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL ( DLL Sideloading ).

Шелл-код загружает первую стадию SysUpdate в оперативную память, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в запрограммированную папку системы и устанавливает постоянство путём изменения реестра или путем добавления отдельной службы, в зависимости от разрешений процесса.

Второй этап запускается после следующей перезагрузки системы, чтобы распаковать и загрузить основную полезную нагрузку SysUpdate.

Цепочка заражения SysUpdate

SysUpdate — это многофункциональный инструмент удаленного доступа, позволяющий злоумышленнику выполнять различные вредоносные действия, перечисленные ниже:

  • диспетчер служб (перечисляет, запускает, останавливает, добавляет и удаляет службы);
  • диспетчер файлов (находит, удаляет, переименовывает, загружает, выгружает файлы и просматривает каталоги);
  • менеджер процессов (просматривает и завершает процессы);
  • создание снимков экрана;
  • получение информации о диске;
  • выполнение команд.

Вариант SysUpdate для Linux представляет собой исполняемый файл ELF и использует общие ключи сетевого шифрования и функции обработки файлов со своим аналогом для Windows. Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка постоянства, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т.д.

Одной из новых функций варианта SysUpdate для Linux является туннелирование DNS. Вредонос получает информацию о DNS из файла «/etc/resolv.conf», чтобы извлечь IP-адрес системного DNS по умолчанию, который может использоваться для отправки и получения DNS-запросов. Если это не удается, вредонос использует DNS-сервер Google по адресу 8.8.8.8. Такая система может помочь вредоносу обойти брандмауэры или инструменты сетевой безопасности, которые могут быть настроены на блокировку всего трафика за пределами определенного списка разрешенных IP-адресов.

Trend Micro заявляет, что выбор библиотеки Asio для разработки Linux-версии SysUpdate может быть связан с её многоплатформенной переносимостью, и прогнозирует, что версия SysUpdate для macOS тоже может скоро появиться в дикой природе.