Эксперты уверены, что и версия для macOS уже «не за горами».
Хакерская группа APT27, также известная как «Iron Tiger» («Железный Тигр»), подготовила новую версию своей вредоносной программы SysUpdate для Для просмотра ссылки Войди
Согласно Для просмотра ссылки Войди
Новый вариант вредоноса написан на C++ с использованием библиотеки Asio. И его функционал, в целом, очень похож на Windows-версию SysUpdate.
Заинтересованность злоумышленника в расширении масштабов атак за пределы Windows стала очевидной прошлым летом, когда компании Для просмотра ссылки Войди
В последней кампании Iron Tiger с использованием SysUpdate злоумышленниками были развернуты образцы вредоносов на системы Windows и Linux.
Одной из жертв этой кампании стала игорная компания на Филиппинах, в атаке на которую использовался Для просмотра ссылки Войди
Вектор заражения неизвестен, но аналитики Для просмотра ссылки Войди
Процесс загрузки SysUpdate в некотором роде эволюционировал с прошлых вредоносных кампаний. Теперь хакеры используют законный исполняемый файл «Microsoft Resource Compiler» (rc.exe) с цифровой подписью для выполнения боковой загрузки DLL ( Для просмотра ссылки Войди
Шелл-код загружает первую стадию SysUpdate в оперативную память, поэтому антивирусам сложно его обнаружить. Затем он перемещает необходимые файлы в запрограммированную папку системы и устанавливает постоянство путём изменения реестра или путем добавления отдельной службы, в зависимости от разрешений процесса.
Второй этап запускается после следующей перезагрузки системы, чтобы распаковать и загрузить основную полезную нагрузку SysUpdate.
Цепочка заражения SysUpdate SysUpdate — это многофункциональный инструмент удаленного доступа, позволяющий злоумышленнику выполнять различные вредоносные действия, перечисленные ниже:
- диспетчер служб (перечисляет, запускает, останавливает, добавляет и удаляет службы);
- диспетчер файлов (находит, удаляет, переименовывает, загружает, выгружает файлы и просматривает каталоги);
- менеджер процессов (просматривает и завершает процессы);
- создание снимков экрана;
- получение информации о диске;
- выполнение команд.
Вариант SysUpdate для Linux представляет собой исполняемый файл ELF и использует общие ключи сетевого шифрования и функции обработки файлов со своим аналогом для Windows. Бинарный файл поддерживает пять параметров, которые определяют, что вредоносная программа должна делать дальше: настройка постоянства, демонизация процесса, установка GUID (глобальный уникальный идентификатор) для зараженной системы и т.д.
Одной из новых функций варианта SysUpdate для Linux является туннелирование DNS. Вредонос получает информацию о DNS из файла «/etc/resolv.conf», чтобы извлечь IP-адрес системного DNS по умолчанию, который может использоваться для отправки и получения DNS-запросов. Если это не удается, вредонос использует DNS-сервер Google по адресу 8.8.8.8. Такая система может помочь вредоносу обойти брандмауэры или инструменты сетевой безопасности, которые могут быть настроены на блокировку всего трафика за пределами определенного списка разрешенных IP-адресов.
Trend Micro заявляет, что выбор библиотеки Asio для разработки Linux-версии SysUpdate может быть связан с её многоплатформенной переносимостью, и прогнозирует, что версия SysUpdate для macOS тоже может скоро появиться в дикой природе.
- Источник новости
- www.securitylab.ru