Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/iron-tiger-hackers-create-linux-version-of-their-custom-malware/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #hackers #iron #tiger #criam #versão #linux #de #seu #malware #personalizado
O grupo de hackers APT27, também conhecido como "Iron Tiger", preparou uma nova versão Linux de seu malware de acesso remoto personalizado SysUpdate, permitindo que o grupo chinês de ciberespionagem tenha como alvo mais serviços usados na empresa.
De acordo com um novo relatório da Trend Micro, os hackers testaram pela primeira vez a versão do Linux em julho de 2022. No entanto, somente em outubro de 2022 várias cargas começaram a circular livremente.
A nova variante de malware é escrita em C++ usando a biblioteca Asio, e sua funcionalidade é muito semelhante à versão do SysUpdate para Windows da Iron Tiger.
O interesse do agente da ameaça em expandir o escopo de segmentação para sistemas além do Windows ficou evidente no verão passado quando a SEKOIA e a Trend Micro relataram ter visto o APT27 visando sistemas Linux e macOS usando um novo backdoor chamado "rshell".
A última campanha do APT27
A campanha SysUpdate observada e analisada pela Trend Micro implantou amostras de Windows e Linux em alvos válidos.
Uma das vítimas dessa campanha foi uma empresa de jogos de azar nas Filipinas, cujo ataque utilizou um servidor de comando e controle registrado com um domínio semelhante à marca da vítima.
O vetor de infecção é desconhecido, mas os analistas da Trend Micro levantam a hipótese de que os aplicativos de bate-papo foram usados como iscas para induzir os funcionários a baixar as cargas iniciais de infecção.
Um item que evoluiu em comparação com as campanhas anteriores que dependem do SysUpdate é o processo de carregamento, que agora usa um executável "Microsoft Resource Compiler" legítimo e assinado digitalmente (rc.exe) para executar o carregamento lateral da DLL com rc.dll para carregar o shellcode .
O shellcode carrega o primeiro estágio do SysUpdate na memória, por isso é difícil para os AVs detectarem. Em seguida, ele move os arquivos necessários para uma pasta codificada e estabelece a persistência com modificações no Registro ou criando um serviço, dependendo das permissões do processo.
O segundo estágio será iniciado após a próxima reinicialização do sistema para descompactar e carregar a carga principal do SysUpdate.
Cadeia de infecção SysUpdate (Trend Micro)
SysUpdate é uma ferramenta de acesso remoto rica em recursos que permite que um agente de ameaça execute uma variedade de comportamentos maliciosos, conforme listado abaixo:
Gerenciador de serviços (lista, inicia, interrompe e exclui serviços)
captura de tela
Gerenciador de processos (navega e finaliza processos)
Recuperação de informações da unidade
Gerenciador de arquivos (localiza, exclui, renomeia, carrega, baixa um arquivo e navega em um diretório)
Execução do comando
A Trend Micro comenta que o Iron Tiger usou um executável assinado por Wazuh em estágios posteriores de sideload para combinar com o ambiente da vítima, já que a organização-alvo usou a plataforma Wazuh legítima.
Arquivos usados na última campanha APT27 (Trend Micro)
Nova versão Linux do SysUpdate
A variante Linux do SysUpdate é um executável ELF e compartilha chaves de criptografia de rede comuns e funções de manipulação de arquivos com sua contraparte do Windows.
O binário suporta cinco parâmetros que determinam o que o malware deve fazer a seguir: definir persistência, daemonizar o processo, definir um GUID (Globally Unique Identifier) para o sistema infectado, etc.
Parâmetros que podem ser passados para o binário SysUpdate (Trend Micro)
O malware estabelece persistência copiando um script para o diretório "/usr/lib/systemd/system/", uma ação que requer privilégios de usuário root.
Conteúdo do script copiado (Trend Micro)
Ao ser iniciado, ele envia as seguintes informações para o servidor C2:
GUID (escolhido aleatoriamente se seu parâmetro não foi usado anteriormente)
Nome de anfitrião
Nome de usuário
Endereço IP local e porta usados para enviar a solicitação
PID atual
Versão do kernel e arquitetura da máquina
Caminho do arquivo atual
Boolean (0 se foi iniciado com exatamente um parâmetro, 1 caso contrário)
Um novo recurso na variante do Linux SysUpdate é o encapsulamento de DNS, visto apenas em uma amostra do malware no Windows.
O SysUpdate obtém informações de DNS do arquivo "/etc/resolv.conf" para recuperar o endereço IP DNS padrão do sistema, que pode ser usado para enviar e receber consultas DNS. Se isso falhar, ele usa o servidor DNS do Google em 8.8.8.8.
A ideia desse sistema é contornar firewalls ou ferramentas de segurança de rede que podem ser configuradas para bloquear todo o tráfego além de uma lista de permissões de endereço IP específica.
A Trend Micro diz que a escolha da biblioteca Asio para desenvolver a versão Linux do SysUpdate pode ser devido à sua portabilidade multiplataforma e prevê que uma versão macOS do malware pode aparecer em breve.
Postar um comentário