Μια κινεζική ομάδα πειρατείας κυβερνοκατασκοπείας που παρακολουθείται ως Budworm έχει παρατηρηθεί να στοχεύει μια εταιρεία τηλεπικοινωνιών στη Μέση Ανατολή και μια κυβερνητική οντότητα στην Ασία χρησιμοποιώντας μια νέα παραλλαγή του προσαρμοσμένου backdoor «SysUpdate».
Το κακόβουλο
λογισμικό
SysUpdate είναι ένας trojan απομακρυσμένης πρόσβασης (RAT) που σχετίζεται με το Budworm (γνωστό και ως APT27 ή Emissary Panda) από το 2020, υποστηρίζοντας υπηρεσίες Windows, διαχείριση διαδικασιών και αρχείων, εκτέλεση εντολών, ανάκτηση δεδομένων και λήψη στιγμιότυπου οθόνης.
Τον Μάρτιο του 2023, η Trend Micro ανέφερε για μια παραλλαγή Linux του SysUpdate, η οποία είχε διανεμηθεί ευρέως στη φύση από τον Οκτώβριο του 2022
Η νεότερη παραλλαγή της κερκόπορτας SysUpdate εντοπίστηκε από
Η ομάδα Threat Hunter της Symantec
μέρος της Broadcom, στην τελευταία καμπάνια που πραγματοποιήθηκε τον Αύγουστο του 2023.
Η Symantec αναφέρει ότι η κερκόπορτα έχει αναπτυχθεί σε συστήματα θυμάτων μέσω πλευρικής φόρτωσης DLL αξιοποιώντας το νόμιμο εκτελέσιμο αρχείο «INISafeWebSSO.exe».
Το κακόβουλο αρχείο DLL που χρησιμοποιείται στις επιθέσεις Budworm προσδιορίζεται ως «inicore_v2.3.30.dll», που είναι εγκατεστημένο στον κατάλογο εργασίας, επομένως εκκινείται πριν από τη νόμιμη έκδοση λόγω παραβίασης εντολής αναζήτησης των Windows.
Με τη φόρτωση του SysUpdate στο πλαίσιο μιας νόμιμης διαδικασίας προγράμματος, οι εισβολείς μπορούν να αποφύγουν τον εντοπισμό από εργαλεία ασφαλείας που εκτελούνται στον παραβιασμένο κεντρικό υπολογιστή.
Μαζί με το SysUpdate, η Symantec αναφέρει ότι βλέπει αρκετά δημόσια διαθέσιμα εργαλεία που χρησιμοποιούνται στις τελευταίες επιθέσεις του Budworm, όπως AdFind, Curl, SecretsDump και PasswordDumper.
Αυτά τα εργαλεία βοηθούν τους εισβολείς να εκτελέσουν διάφορες ενέργειες, όπως απόρριψη διαπιστευτηρίων, χαρτογράφηση δικτύου, πλευρική εξάπλωση σε ένα παραβιασμένο δίκτυο και κλοπή δεδομένων.
Η στόχευση εταιρειών τηλεπικοινωνιών έχει γίνει κοινός στόχος μεταξύ των κρατικών χορηγούμενων ομάδων και των ομάδων
hacking
APT.
Τον περασμένο μήνα, οι ερευνητές ανέφεραν ότι άλλες ομάδες hacking παραβιάζουν εταιρείες τηλεπικοινωνιών για να εγκαταστήσουν προσαρμοσμένο κακόβουλο λογισμικό με το όνομα HTTPSnoop και LuaDream, με αμφότερες τις μολύνσεις από κακόβουλο λογισμικό να παρέχουν πρόσβαση σε κερκόπορτα στα δίκτυα.
Προηγούμενες δραστηριότητες Budworm
Η Budworm δραστηριοποιείται από το 2013, στοχεύοντας οντότητες υψηλής αξίας στην κυβέρνηση, την τεχνολογία, την άμυνα και άλλους βασικούς τομείς και βιομηχανίες.
Το 2020, η ομάδα απειλών πειραματίστηκε με την κατάχρηση του εργαλείου Windows BitLocker για την κρυπτογράφηση των διακομιστών πολλών διαδικτυακών εταιρειών τυχερών παιχνιδιών και τυχερών παιχνιδιών, πιθανόν να συγκαλύψει τις πραγματικές τους προθέσεις κατασκοπείας.
Στις αρχές του 2022, η γερμανική υπηρεσία πληροφοριών προειδοποίησε για τις δραστηριότητες της Budworm, τονίζοντας τον κίνδυνο επιθέσεων στην αλυσίδα εφοδιασμού που στοχεύουν πολύτιμους κατόχους πνευματικής ιδιοκτησίας στη χώρα.
Αργότερα το ίδιο έτος, το
Υπουργείο Εξωτερικών
του Βελγίου ανακοίνωσε ότι πολλά από τα υπουργεία Άμυνας και Εσωτερικών της χώρας είχαν γίνει στόχος των Κινέζων χάκερ.
Τον Αύγουστο του 2022, η SEKOIA ανέφερε ότι η Budworm είχε δημιουργήσει ψεύτικους ιστότοπους που στοχεύουν Κινέζους χρήστες που προώθησαν μια
εφαρμογή
ανταλλαγής άμεσων μηνυμάτων μεταξύ πλατφορμών που ονομάζεται «MiMi».
Τα αρχεία εγκατάστασης για την ψεύτικη εφαρμογή μόλυναν στόχους με μια νέα κερκόπορτα που ονομάζεται «rshell», ικανή να κλέβει δεδομένα από συστήματα Linux και
macOS
.
