Хакеры Iron Tiger распространяют Linux-версию своей вредоносной программы SysUpdate

Хакерская группа APT27, также известная как «Iron Tiger» («Железный Тигр»), подготовила новую версию своей вредоносной программы SysUpdate для Linux. Программа удаленного доступа позволяет злоумышленникам нацеливаться на большее количество служб, используемых на предприятии.

Согласно новому отчету Trend Micro, хакеры впервые протестировали версию ПО для Linux в июле 2022 года. Однако только в октябре 2022 года несколько полезных нагрузок начали появляться в дикой природе (ITW).

Новый вариант вредоноса написан на C++ с использованием библиотеки Asio. И его функционал, в целом, очень похож на Windows-версию SysUpdate.

Заинтересованность злоумышленника в расширении масштабов атак за пределы Windows стала очевидной прошлым летом, когда компании SEKOIA и Trend Micro сообщили ( 1 , 2 ), что хакеры Iron Tiger атаковали Linux и macOS системы с использованием нового бэкдора под названием «rshell».

В последней кампании Iron Tiger с использованием SysUpdate злоумышленниками были развернуты образцы вредоносов на системы Windows и Linux.

Одной из жертв этой кампании стала игорная компания на Филиппинах, в атаке на которую использовался C2-сервер, зарегистрированный в домене, похожем на бренд жертвы, что сделало весьма неочевидным выявление кибератаки.

Вектор заражения неизвестен, но аналитики Trend Micro предполагают, что чат-приложения использовались в качестве приманки, чтобы обманным путем заставить сотрудников загрузить первоначальную полезную нагрузку заражения.

Процесс загрузки SysUpdate в некотором роде эволюционировал с прошлых вредоносных кампаний. Теперь хакеры используют законный исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL (DLL Sideloading).

Шелл-код загружает первую стадию SysUpdate в оперативную память, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в запрограммированную папку системы и устанавливает постоянство путём изменения реестра или путем добавления отдельной службы, в зависимости от разрешений процесса.

Второй этап запускается после следующей перезагрузки системы, чтобы распаковать и загрузить основную полезную нагрузку SysUpdate.

Цепочка заражения SysUpdate

SysUpdate — это многофункциональный инструмент удаленного доступа, позволяющий злоумышленнику выполнять различные вредоносные действия, перечисленные ниже:

• диспетчер служб (перечисляет, запускает, останавливает, добавляет и удаляет службы);
• диспетчер файлов (находит, удаляет, переименовывает, загружает, выгружает файлы и просматривает каталоги);
• менеджер процессов (просматривает и завершает процессы);
• создание снимков экрана;
• получение информации о диске;
• выполнение команд.

Вариант SysUpdate для Linux представляет собой исполняемый файл ELF и использует общие ключи сетевого шифрования и функции обработки файлов со своим аналогом для Windows. Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка постоянства, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т.д.

Одной из новых функций варианта SysUpdate для Linux является туннелирование DNS. Вредонос получает информацию о DNS из файла «/etc/resolv.conf», чтобы извлечь IP-адрес системного DNS по умолчанию, который может использоваться для отправки и получения DNS-запросов. Если это не удается, вредонос использует DNS-сервер Google по адресу 8.8.8.8. Такая система может помочь вредоносу обойти брандмауэры или инструменты сетевой безопасности, которые могут быть настроены на блокировку всего трафика за пределами определенного списка разрешенных IP-адресов.

Trend Micro заявляет, что выбор библиотеки Asio для разработки Linux-версии SysUpdate может быть связан с её многоплатформенной переносимостью, и прогнозирует, что версия SysUpdate для macOS тоже может скоро появиться в дикой природе.