Posté le mars 2, 2023 à 5:33
LE GROUPE D’ESPIONNAGE CHINOIS IRON TIGER CRÉE UNE VERSION LINUX DE SON LOGICIEL MALVEILLANT PERSONNALISÉ
Iron Tiger, un groupe de hackers APT27, a créé une nouvelle version Linux du logiciel malveillant d’accès à distance personnalisé SysUpdate. Ce logiciel malveillant a permis au groupe de hackers de cibler divers services dont dépendent les entreprises.
Le groupe de hackers Iron Tiger crée une version Linux du logiciel malveillant SysUpdate
Iron Tiger est un groupe de hackers Chinois spécialisé dans le cyberespionnage, connu pour cibler les entreprises critiques afin d’obtenir des informations. Selon un nouveau rapport de Trend Micros, les hackers ont commencé à tester la version Linux du logiciel malveillant en juillet de l’année dernière.
Bien qu’ils aient testé la version du logiciel malveillant à la mi-2022, ces hackers ont commencé à faire circuler de multiples charges utiles dans la nature en octobre 2022, selon un rapport de Trend Micro. La nouvelle variante du logiciel malveillant Linux a été écrite dans le langage de programmation C++ par le biais de la bibliothèque Asio. De plus, elle fonctionne de la même manière que la version Windows de SysUpdate qu’utilise Iron Tiger.
Les hackers ont cherché à créer une version personnalisée de ce logiciel malveillant afin d’étendre la cible à d’autres systèmes que Windows. L’été dernier, les objectifs derrière le comportement de ce groupe d’acteurs de la menace sont devenus évidents après que plusieurs experts en cybersécurité ont signalé que le groupe de hackers ciblait les systèmes Linux et MacOS par le biais d’une nouvelle porte dérobée connue sous le nom de « rshell ».
La campagne de piratage utilisant SysUpdate a utilisé des échantillons de Linux et de Windows pour compromettre les cibles. La campagne a été analysée par Trend Micro, qui a noté qu’elle avait déjà fait plusieurs victimes dans le monde.
L’une des entreprises visées par cette campagne de piratage est une société de jeux d’argent aux Philippines. L’attaque contre cette société de jeu a utilisé un serveur de commande et de contrôle enregistré sous un domaine similaire à celui de la marque de la victime.
Le vecteur d’infection de ce logiciel malveillant n’a pas encore été identifié. Cependant, les analystes de Trend Micro ont émis une hypothèse sur la situation, affirmant que les applications de chat étaient utilisées pour inciter les employés à télécharger les charges utiles de l’infection initiale.
Un seul des éléments analysés par les chercheurs en sécurité avait changé de modus operandi par rapport aux campagnes précédentes qui dépendent de SysUpdate comme processus de chargement. Le nouveau logiciel malveillant utilise désormais un exécutable « Microsoft Resource Compiler » authentique et signé numériquement pour gérer le chargement latéral des DLL et rc.dll pour déployer le shellcode.
Au cours de la première étape, le shellcode charge SysUpdate en mémoire, en contournant les mécanismes de sécurité en place. Le shellcode transfère ensuite les fichiers nécessaires dans un dossier codé en dur tout en créant une persistance avec des modifications du registre. Il crée également un service dépendant des permissions du processus.
La deuxième étape commence après le prochain redémarrage du système. Cette étape vise à décompresser et à charger la charge utile principale de SysUpdate. SysUpdate est un outil d’accès à distance sophistiqué permettant à l’acteur de la menace d’effectuer diverses activités malveillantes.
Grâce à SysUpdate, les hackers peuvent réaliser des captures d’écran, gérer les services du périphérique, accéder au gestionnaire de processus, récupérer des informations sur les lecteurs, accéder aux informations du gestionnaire de fichiers et exécuter des commandes.
Selon Trend Micro, Iron Tiger a déployé un exécutable signé Wazuh lors des étapes suivantes du sideloading. L’exécutable s’est intégré à l’environnement de la victime car l’organisation cible s’appuyait sur la plateforme légitime de Wazuh.
Des hackers ont créé une variante Linux de SysUpdate
La version Linux de SysUpdate créée par les hackers est un exécutable ELF. Cet exécutable partage les mêmes clés de cryptage réseau et les mêmes attributs de traitement des fichiers que la version Windows.
Le binaire prend en charge cinq paramètres qui déterminent les fonctions que le logiciel malveillant doit remplir, notamment les attaques persistantes et la configuration de l’identifiant unique mondial (GUID) du système affecté.
Le logiciel malveillant crée une attaque de persistance en copiant un script dans un autre répertoire. Pour ce faire, les hackers ont besoin des droits d’utilisateur root. L’une des fonctionnalités de la version Linux de SysUpdate est le tunneling DNS, qui n’est disponible que sur l’un des échantillons Windows de ce logiciel malveillant.
Le logiciel malveillant SysUpdate reçoit les informations DNS utilisées pour accéder à l’adresse IP DNS du système par défaut, qui est utilisée pour envoyer et obtenir des requêtes DNS. En cas de défaillance de cette fonction, c’est le serveur DNS de Google à l’adresse 8.8.8.8 qui s’en charge.
L’objectif de ce système est de contourner les pare-feu des outils de sécurité réseau qui peuvent être configurés pour bloquer le trafic Internet au-delà d’une liste d’adresses IP donnée. Selon Trend Micro, les hackers auraient préféré utiliser la bibliothèque Asio pour créer la version Linux du logiciel malveillant SysUpdate en raison de sa portabilité.
