Budworm ligado à China visa operadoras de telecomunicações do Oriente Médio e agências governamentais asiáticas.
28 de Setembro de 2023

O governo e as entidades de telecomunicações foram submetidos a uma nova onda de ataques por um ator de ameaça vinculado à China, rastreado como Budworm, usando um conjunto de ferramentas de malware atualizado.

As invasões, direcionadas a uma organização de telecomunicações do Oriente Médio e a um governo asiático, ocorreram em agosto de 2023, com o adversário implantando uma versão melhorada do seu toolkit SysUpdate, disse a Equipe de Caçadores de Ameaças da Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker News.

Budworm, também conhecido pelos nomes APT27, Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse e Red Phoenix, é conhecido por estar ativo desde pelo menos 2013, visando uma ampla gama de verticais da indústria em busca de seus objetivos de coleta de informações.

O grupo de estado-nação usa várias ferramentas como a web shell China Chopper, Gh0st RAT, HyperBro, PlugX, SysUpdate e ZXShell para extrair informações de alto valor e manter acesso a sistemas sensíveis por longos períodos.

um relatório anterior da SecureWorks em 2017 revelou a predileção do agressor por coletar inteligência de defesa, segurança e política de organizações em todo o mundo, caracterizando-o como uma ameaça formidável.

Também foi observado explorando serviços vulneráveis à internet para obter acesso a redes direcionadas.

Em março deste ano, a Trend Micro destacou a versão Linux do SysUpdate, que tem capacidades para contornar o software de segurança e resistir à engenharia reversa.

A backdoor é rica em recursos, tornando possível capturar capturas de tela, encerrar processos arbitrários, conduzir operações de arquivos, recuperar informações de unidade e executar comandos.

"Além de seu malware personalizado, Budworm também usou várias ferramentas de vida-fora-da-terra e publicamente disponíveis nesses ataques", disse a Symantec.

"Parece que a atividade do grupo pode ter sido interrompida no início da cadeia de ataques à medida que a única atividade maliciosa vista em máquinas infectadas é a coleta de credenciais."

Com o último desenvolvimento, Budworm é a nova adição a uma lista crescente de atores de ameaças que treinaram seus olhos no setor de telecomunicações no Oriente Médio, incluindo grupos anteriormente não documentados apelidados de ShroudedSnooper e Sandman.

"SysUpdate tem sido usado por Budworm desde pelo menos 2020, e os invasores parecem desenvolver continuamente a ferramenta para melhorar suas capacidades e evitar a detecção."

"O fato de Budworm continuar a usar um malware conhecido (SysUpdate), juntamente com técnicas que costuma usar, como o carregamento lateral de DLL usando um aplicativo que já usou para este propósito antes, indica que o grupo não está muito preocupado em ter essa atividade associada a ele se for descoberto."

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...