- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Согласно новому отчету Trend Micro, хакеры впервые протестировали версию ПО для Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали появляться в дикой природе (ITW).
Новый вариант вредоноса написан на C++ с использованием библиотеки Asio. И его функционал, в целом, очень похож на Windows-версию SysUpdate.
Заинтересованность злоумышленника в расширении масштабов атак за пределы Windows стала очевидной прошлым летом, когда компании SEKOIA и Trend Micro сообщили, что хакеры Iron Tiger атаковали Linux и macOS системы с использованием нового бэкдора под названием «rshell».
В последней кампании Iron Tiger с использованием SysUpdate злоумышленниками были развернуты образцы вредоносов на системы Windows и Linux.
Одной из жертв этой кампании стала игорная компания на Филиппинах, в атаке на которую использовался C2-сервер, зарегистрированный в домене, похожем на бренд жертвы, что сделало весьма неочевидным выявление кибератаки.
Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что чат-приложения использовались в качестве приманки, чтобы обманным путем заставить сотрудников загрузить первоначальную полезную нагрузку заражения.
Процесс загрузки SysUpdate в некотором роде эволюционировал с прошлых вредоносных кампаний. Теперь хакеры используют законный исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL (DLL Sideloading).
Шелл-код загружает первую стадию SysUpdate в оперативную память, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в запрограммированную папку системы и устанавливает постоянство путём изменения реестра или путем добавления отдельной службы, в зависимости от разрешений процесса.
Второй этап запускается после следующей перезагрузки системы, чтобы распаковать и загрузить основную полезную нагрузку SysUpdate.
SysUpdate — это многофункциональный инструмент удаленного доступа, позволяющий злоумышленнику выполнять различные вредоносные действия, перечисленные ниже:
- диспетчер служб (перечисляет, запускает, останавливает, добавляет и удаляет службы);
- диспетчер файлов (находит, удаляет, переименовывает, загружает, выгружает файлы и просматривает каталоги);
- менеджер процессов (просматривает и завершает процессы);
- создание снимков экрана;
- получение информации о диске;
- выполнение команд.
Одной из новых функций варианта SysUpdate для Linux является туннелирование DNS. Вредонос получает информацию о DNS из файла «/etc/resolv.conf», чтобы извлечь IP-адрес системного DNS по умолчанию, который может использоваться для отправки и получения DNS-запросов. Если это не удается, вредонос использует DNS-сервер Google по адресу 8.8.8.8. Такая система может помочь вредоносу обойти брандмауэры или инструменты сетевой безопасности, которые могут быть настроены на блокировку всего трафика за пределами определенного списка разрешенных IP-адресов.
Trend Micro заявляет, что выбор библиотеки Asio для разработки Linux-версии SysUpdate может быть связан с её многоплатформенной переносимостью, и прогнозирует, что версия SysUpdate для macOS тоже может скоро появиться в дикой природе.