SysUpdate恶意软件发布针对Linux版本的恶意软件

系统更新恶意软件

被称为Lucky Mouse的威胁参与者开发了一个名为SysUpdate的恶意软件工具包的Linux版本,扩展了其针对运行操作系统的设备的能力。

更新工件的最旧版本可追溯到2022年7月,该恶意软件包含旨在逃避安全软件和抵抗逆向工程的新功能。

网络安全公司 Trend Micro表示,它在 2022 年 6 月观察到了等效的 Windows 变体,即在命令与控制 (C2) 基础设施建立近一个月后。

Lucky Mouse还被安全厂商以APT27、Bronze Union、Emissary Panda和Iron Tiger的绰号进行跟踪,并且利用各种众所周知的恶意软件,例如SysUpdate、HyperBro、PlugX和一个名为rshell的Linux后门。

在过去两年中,威胁组织策划的活动包括对Able Desktop和MiMi Chat等合法应用程序的供应链攻击,以获得对受感染系统的远程访问。

2022 年 10 月,Intrinsec详细描述了对一家法国公司的攻击,该公司利用Microsoft Exchange Server中的ProxyLogon 漏洞来交付HyperBro,这是长达数月的泄露“gigabytes of data”的行动的一部分。

最新行动的目标包括菲律宾的一家博彩公司,该行业自 2019 年以来多次受到攻击。

系统更新恶意软件

攻击中使用的确切感染媒介尚不清楚,但迹象表明使用伪装成消息应用程序的安装程序作为激活攻击序列的诱饵。

至于 Windows 版的 SysUpdate,它具有管理进程、截屏、执行文件操作和执行任意命令的功能。它还能够通过DNS TXT请求与C2服务器通信,这种技术称为DNS隧道。

该开发还标志着首次检测到威胁行为者利用Wazuh签名的可执行文件中的侧载漏洞来在Windows机器上部署SysUpdate。

用C++编写的Linux ELF样本以使用Asio库移植文件处理功能而著称,这表明对手正在寻求为恶意软件添加跨平台支持。

趋势科技表示,鉴于rshell已经能够在 Linux 和 macOS 上运行,SysUpdate 未来可能具有 macOS 风格的可能性不容小觑。

另一个值得注意的工具是自定义 Chrome 密码和 cookie 抓取器,它具有收集存储在网络浏览器中的 cookie 和密码的功能。

安全研究员 Daniel Lunghi 说:“这项调查证实 Iron Tiger 会定期更新其工具以添加新功能,并可能简化它们对其他平台的可移植性,”并补充说它“证实了这个威胁参与者对博彩业和东南亚地区的兴趣”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4565.html

标签