Хакеры Iron Tiger распространяют Linux-версию своей вредоносной программы SysUpdate
» data-html=»true» data-original-title=»SEKOIA»>SEKOIA и Trend Micro сообщили ( 1 , 2 ), что хакеры Iron Tiger атаковали Linux и macOS системы с использованием нового бэкдора под названием «rshell».
В последней кампании Iron Tiger с использованием SysUpdate злоумышленниками были развернуты образцы вредоносов на системы Windows и Linux.
Одной из жертв этой кампании стала игорная компания на Филиппинах, в атаке на которую использовался C2-сервер – это термин, используемый в кибербезопасности, который и означающий командно-контрольный сервер. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно контролировать и управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить другие атаки.
C2-серверы могут быть использованы для проведения различных видов кибератак, таких как кража конфиденциальных данных, шпионаж, распространение вредоносного ПО, проведение DDoS-атак и других.
» data-html=»true» data-original-title=»C2-сервер»>C2-сервер, зарегистрированный в домене, похожем на бренд жертвы, что сделало весьма неочевидным выявление кибератаки.
Вектор заражения неизвестен, но аналитики Trend Micro – совместное японско-американское предприятие по разработке антивирусного программного обеспечения.
Компания основана в 1988 году в Калифорнии. Основатель Стив Ченг (Steve Chang) возглавлял фирму до 2004 года, после чего передал управление совладельцу Еве Чен (Eva Chen). В настоящее время штаб-квартира компании находится в Токио, Япония.
Trend Micro производит широкий спектр антивирусных продуктов, а также бесплатные, online и основанные на браузерах сетевые сканеры HouseCall.
В целях исследования и информирования общественности о состоянии сетевой безопасности, они создали глобальный центр, называемый TrendLabs. Филиалы этой лаборатории находятся в Филиппинах, Тайване, Японии, Китае, Франции, Германии, Ирландии, США, Дубае, Австралии и Новой Зеландии.
В 2007 году антивирусные и антишпионские продукты Trend Micro были названы лучшими в сфере борьбы с вредоносными кодами. Это объясняется их высокой скоростью работы при сканировании, большим количеством обнаруживаемых угроз и другим функционалом.
» data-html=»true» data-original-title=»Trend Micro»>Trend Micro предполагают, что чат-приложения использовались в качестве приманки, чтобы обманным путем заставить сотрудников загрузить первоначальную полезную нагрузку заражения.
Процесс загрузки SysUpdate в некотором роде эволюционировал с прошлых вредоносных кампаний. Теперь хакеры используют законный исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL (DLL Sideloading — перехват DLL-библиотеки, которую загружает программа. Вместо того, чтобы просто установить DLL в порядке поиска программы, а затем ожидать вызова приложения-жертвы, злоумышленник напрямую загружает свою полезную нагрузку, установив, а затем запустив легитимное приложение, которое выполняет его полезную нагрузку.
» data-html=»true» data-original-title=»DLL Sideloading»>DLL Sideloading).
Шелл-код загружает первую стадию SysUpdate в оперативную память, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в запрограммированную папку системы и устанавливает постоянство путём изменения реестра или путем добавления отдельной службы, в зависимости от разрешений процесса.
Второй этап запускается после следующей перезагрузки системы, чтобы распаковать и загрузить основную полезную нагрузку SysUpdate.
Цепочка заражения SysUpdate
SysUpdate — это многофункциональный инструмент удаленного доступа, позволяющий злоумышленнику выполнять различные вредоносные действия, перечисленные ниже:
-
диспетчер служб (перечисляет, запускает, останавливает, добавляет и удаляет службы);
-
диспетчер файлов (находит, удаляет, переименовывает, загружает, выгружает файлы и просматривает каталоги);
-
менеджер процессов (просматривает и завершает процессы);
-
создание снимков экрана;
-
получение информации о диске;
-
выполнение команд.
Вариант SysUpdate для Linux представляет собой исполняемый файл ELF и использует общие ключи сетевого шифрования и функции обработки файлов со своим аналогом для Windows. Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка постоянства, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т.д.
Одной из новых функций варианта SysUpdate для Linux является туннелирование DNS. Вредонос получает информацию о DNS из файла «/etc/resolv.conf», чтобы извлечь IP-адрес системного DNS по умолчанию, который может использоваться для отправки и получения DNS-запросов. Если это не удается, вредонос использует DNS-сервер Google по адресу 8.8.8.8. Такая система может помочь вредоносу обойти брандмауэры или инструменты сетевой безопасности, которые могут быть настроены на блокировку всего трафика за пределами определенного списка разрешенных IP-адресов.
Trend Micro заявляет, что выбор библиотеки Asio для разработки Linux-версии SysUpdate может быть связан с её многоплатформенной переносимостью, и прогнозирует, что версия SysUpdate для macOS тоже может скоро появиться в дикой природе.
