Grupo Iron Tiger cria versão Linux de seu malware personalizado

Da Redação
01/03/2023

O grupo hacker APT27, também conhecido como Iron Tiger, desenvolveu uma nova versão Linux do malware de acesso remoto personalizado SysUpdate, o que permite ao grupo chinês de ciberespionagem o acesso a mais serviços usados em uma empresa. De acordo com um novo relatório da Trend Micro, os hackers testaram a versão do Linux pela primeira vez em julho do ano passado. No entanto, somente em outubro várias cargas começaram a circular livremente.

A nova variante de malware é escrita em C++ usando a biblioteca Asio, e sua funcionalidade é muito semelhante à versão do SysUpdate para Windows da Iron Tiger.

O interesse do grupo hacker em expandir o escopo de segmentação para sistemas além do Windows se tornou evidente em meados do ano passado, quando a Sekoia e a Trend Micro relataram ter visto o APT27 visando sistemas Linux e macOS usando uma nova backdoor chamada “rshell”.

A campanha SysUpdate observada pela Trend Micro implantou amostras de Windows e Linux em alvos válidos. Uma das vítimas dessa campanha foi uma empresa de jogos de azar nas Filipinas, cujo ataque utilizou um servidor de comando e controle (C&C) registrado com um domínio semelhante à marca da vítima.

O vetor de infecção é desconhecido, mas os analistas da Trend Micro levantam a hipótese de que os aplicativos de bate-papo foram usados como iscas para induzir os funcionários a baixar as cargas iniciais de infecção.

Veja isso
Nova variante da botnet Mirai infecta dispositivos Linux
Variante Linux do ransomware Clop tem falhas, diz pesquisador

Um item que evoluiu em comparação com as campanhas anteriores que dependem do SysUpdate é o processo de carregamento, que agora usa um executável Microsoft Resource Compiler legítimo e assinado digitalmente (rc.exe) para executar o carregamento lateral da DLL com rc.dll para carregar o shellcode. O shellcode carrega o primeiro estágio do SysUpdate na memória, por isso é difícil para os antivírus detectarem. Em seguida, ele move os arquivos necessários para uma pasta codificada e estabelece a persistência com modificações no registro ou criando um serviço, dependendo das permissões do processo. O segundo estágio será iniciado após a próxima reinicialização do sistema para descompactar e carregar a carga principal do SysUpdate.

O SysUpdate é uma ferramenta de acesso remoto rica em recursos que permite que um agente de ameaça execute uma variedade de comportamentos maliciosos, tais como gerenciamento de serviços, captura de tela, gestão de processos, execução do comando, entre outros.A Trend Micro observa que a escolha da biblioteca Asio para desenvolver a versão Linux do SysUpdate pode ser devido à sua portabilidade multiplataforma e prevê que uma versão macOS do malware pode aparecer em breve.

Compartilhar: