Malware SysUpdate ataca novamente com versão para Linux e novas táticas de evasão
3 de Março de 2023

O ator de ameaças conhecido como Lucky Mouse desenvolveu uma versão Linux de um kit de ferramentas de malware chamado SysUpdate, expandindo sua capacidade de atacar dispositivos que executam o sistema operacional.

A versão mais antiga do artefato atualizado remonta a julho de 2022, com o malware incorporando novos recursos projetados para evitar software de segurança e resistir à engenharia reversa.

A empresa de segurança cibernética Trend Micro disse que observou a variante Windows equivalente em junho de 2022, quase um mês após a configuração da infraestrutura de comando e controle (C2).

Lucky Mouse também é rastreado sob os nomes APT27, Bronze Union, Emissary Panda e Iron Tiger, e é conhecido por utilizar uma variedade de malware, como SysUpdate, HyperBro, PlugX e uma backdoor Linux chamada rshell.

Nos últimos dois anos, as campanhas orquestradas pelo grupo de ameaças abraçaram comprometimentos de cadeia de suprimentos de aplicativos legítimos como Able Desktop e MiMi Chat para obter acesso remoto a sistemas comprometidos.

Em outubro de 2022, a Intrinsec detalhou um ataque a uma empresa francesa que utilizou vulnerabilidades ProxyLogon no Microsoft Exchange Server para fornecer HyperBro como parte de uma operação de vários meses que exfiltrou "gigabytes de dados".

Os alvos da última campanha incluem uma empresa de jogos de azar nas Filipinas, um setor que tem sido repetidamente atacado por Iron Tiger desde 2019.

O vetor de infecção exato usado no ataque não está claro, mas os sinais apontam para o uso de instaladores disfarçados de aplicativos de mensagens como Youdu como iscas para ativar a sequência de ataque.

Quanto à versão do Windows do SysUpdate, ela vem com recursos para gerenciar processos, capturar imagens de tela, realizar operações de arquivo e executar comandos arbitrários.

Também é capaz de se comunicar com servidores C2 por meio de solicitações DNS TXT, uma técnica conhecida como DNS Tunneling.

O desenvolvimento também marca a primeira vez que um ator de ameaças foi detectado usando uma vulnerabilidade de carregamento lateral em um executável assinado pelo Wazuh para implantar o SysUpdate em máquinas Windows.

As amostras Linux ELF, escritas em C ++, são notáveis ​​por usar a biblioteca Asio para portar as funções de manipulação de arquivos, indicando que o adversário está procurando adicionar suporte multiplataforma para o malware.

Dado que o rshell já é capaz de rodar no Linux e no macOS, a possibilidade de que o SysUpdate possa ter um sabor macOS no futuro não pode ser descartada, disse a Trend Micro.

Outra ferramenta de destaque é um coletor personalizado de senhas e cookies do Chrome que vem com recursos para coletar cookies e senhas armazenados no navegador da web.

"Esta investigação confirma que o Iron Tiger atualiza regularmente suas ferramentas para adicionar novos recursos e provavelmente facilitar sua portabilidade para outras plataformas", disse o pesquisador de segurança Daniel Lunghi, acrescentando que "corrobora o interesse deste ator de ameaças na indústria de jogos de azar e na região do sudeste asiático".

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...