O governo e as entidades de telecomunicações foram submetidos a uma nova onda de ataques por um ator de ameaça vinculado à China, rastreado como Budworm, usando um conjunto de ferramentas de malware atualizado.
As invasões, direcionadas a uma organização de telecomunicações do Oriente Médio e a um governo asiático, ocorreram em agosto de 2023, com o adversário implantando uma versão melhorada do seu toolkit SysUpdate, disse a Equipe de Caçadores de Ameaças da Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker News.
Budworm, também conhecido pelos nomes APT27, Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse e Red Phoenix, é conhecido por estar ativo desde pelo menos 2013, visando uma ampla gama de verticais da indústria em busca de seus objetivos de coleta de informações.
O grupo de estado-nação usa várias ferramentas como a web shell China Chopper, Gh0st RAT, HyperBro, PlugX, SysUpdate e ZXShell para extrair informações de alto valor e manter acesso a sistemas sensíveis por longos períodos.
um relatório anterior da SecureWorks em 2017 revelou a predileção do agressor por coletar inteligência de defesa, segurança e política de organizações em todo o mundo, caracterizando-o como uma ameaça formidável.
Também foi observado explorando serviços vulneráveis à internet para obter acesso a redes direcionadas.
Em março deste ano, a Trend Micro destacou a versão Linux do SysUpdate, que tem capacidades para contornar o software de segurança e resistir à engenharia reversa.
A backdoor é rica em recursos, tornando possível capturar capturas de tela, encerrar processos arbitrários, conduzir operações de arquivos, recuperar informações de unidade e executar comandos.
"Além de seu malware personalizado, Budworm também usou várias ferramentas de vida-fora-da-terra e publicamente disponíveis nesses ataques", disse a Symantec.
"Parece que a atividade do grupo pode ter sido interrompida no início da cadeia de ataques à medida que a única atividade maliciosa vista em máquinas infectadas é a coleta de credenciais."
Com o último desenvolvimento, Budworm é a nova adição a uma lista crescente de atores de ameaças que treinaram seus olhos no setor de telecomunicações no Oriente Médio, incluindo grupos anteriormente não documentados apelidados de ShroudedSnooper e Sandman.
"SysUpdate tem sido usado por Budworm desde pelo menos 2020, e os invasores parecem desenvolver continuamente a ferramenta para melhorar suas capacidades e evitar a detecção."
"O fato de Budworm continuar a usar um malware conhecido (SysUpdate), juntamente com técnicas que costuma usar, como o carregamento lateral de DLL usando um aplicativo que já usou para este propósito antes, indica que o grupo não está muito preocupado em ter essa atividade associada a ele se for descoberto."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...