Μια κινέζικη ομάδα hacking που ανιχνεύθηκε με το όνομα Budworm επιτέθηκε σε μια τηλεπικοινωνιακή εταιρεία στη Μέση Ανατολή και σε μια κυβερνητική οντότητα στην Ασία, χρησιμοποιώντας μια νέα εκδοχή του custom backdoor ‘SysUpdate’.
Το SysUpdate malware είναι ένα remote access trojan (RAT) που συνδέεται με την Budworm (επίσης γνωστή ως APT27 ή Emissary Panda) από το 2020. Υποστηρίζει την διαχείριση υπηρεσιών, διεργασιών και αρχείων των Windows, την εκτέλεση εντολών, την ανάκτηση δεδομένων και την καταγραφή εικόνων της οθόνης.
Τον Μάρτιο του 2023, η Trend Micro ανέφερε για μια παραλλαγή του SysUpdate για Linux, η οποία είχε διανεμηθεί ευρέως από τον Οκτώβριο του 2022.
Η πιο πρόσφατη παραλλαγή του backdoor SysUpdate εντοπίστηκε από την ομάδα Threat Hunter της Symantec, μέρος της Broadcom, στην τελευταία επίθεση που έλαβε χώρα τον Αύγουστο του 2023.
Σύμφωνα με την έκθεση της Symantec, το backdoor εγκαθίσταται σε συστήματα μέσω της DLL sideloading, εκμεταλλευόμενη τo νόμιμo executable ‘INISafeWebSSO.exe’.
Το κακόβουλο αρχείο DLL που χρησιμοποιείται στις επιθέσεις Budworm αναγνωρίζεται ως ‘inicore_v2.3.30.dll’, το οποίο είναι τοποθετημένο στο working directory, έτσι ώστε να εκτελείται πριν από την νόμιμη έκδοση λόγω του “Windows search order hijacking”.
Με το φόρτωμα του SysUpdate στο πλαίσιο ενός νόμιμου διεργασίας προγράμματος, οι επιτιθέμενοι μπορούν να αποφύγουν την ανίχνευση από τα εργαλεία ασφαλείας που εκτελούνται στον παραβιασμένο υπολογιστή.
Μαζί με το SysUpdate, η Symantec αναφέρει ότι εντοπίστηκαν αρκετά διαθέσιμα δημόσια εργαλεία που χρησιμοποιήθηκαν στις πιο πρόσφατες επιθέσεις του Budworm, όπως το AdFind, το Curl, το SecretsDump και το PasswordDumper.
Αυτά τα εργαλεία βοηθούν τους επιτιθέμενους να εκτελούν διάφορες ενέργειες, συμπεριλαμβανομένης της αποθήκευσης credential, της καταγραφής δικτύου, της διάδοσης πλευρικά σε έναν παραβιασμένο δίκτυο και της κλοπής δεδομένων.
Ο στόχος των εταιρειών τηλεπικοινωνιών έχει γίνει συχνός στόχος μεταξύ των ομάδων hacking APT.
Πηγή πληροφοριών: bleepingcomputer.com
