Hackers da Iron Tiger criaram versão Linux de seu malware

Segundo um novo relatório da Trend Micro, os hackers da Iron Tiger criaram versão Linux de seu malware personalizado.

O grupo de hackers APT27, também conhecido como “Iron Tiger”, preparou uma nova versão Linux de seu malware de acesso remoto personalizado SysUpdate, permitindo que o grupo chinês de ciberespionagem tenha como alvo mais serviços usados na empresa.

Hackers da Iron Tiger criaram versão Linux de seu malware

Hackers da Iron Tiger criaram versão Linux de seu malware
Hackers da Iron Tiger criaram versão Linux de seu malware

De acordo com um novo relatório da Trend Micro, os hackers testaram a versão do Linux pela primeira vez em julho de 2022. No entanto, somente em outubro de 2022 várias cargas começaram a circular livremente.

A nova variante de malware é escrita em C++ usando a biblioteca Asio, e sua funcionalidade é muito semelhante à versão do SysUpdate para Windows da Iron Tiger.

O interesse do agente da ameaça em expandir o escopo de segmentação para sistemas além do Windows tornou-se evidente no verão passado, quando a SEKOIA e a Trend Micro relataram ter visto o APT27 visando sistemas Linux e macOS usando um novo backdoor chamado “rshell”.

A campanha SysUpdate observada e analisada pela Trend Micro implantou amostras de Windows e Linux em alvos válidos.

Uma das vítimas dessa campanha foi uma empresa de jogos de azar nas Filipinas, cujo ataque utilizou um servidor de comando e controle registrado com um domínio semelhante à marca da vítima.

O vetor de infecção é desconhecido, mas os analistas da Trend Micro levantam a hipótese de que os aplicativos de bate-papo foram usados como iscas para induzir os funcionários a baixar as cargas iniciais de infecção.

Um item que evoluiu em comparação com as campanhas anteriores que dependem do SysUpdate é o processo de carregamento, que agora usa um executável “Microsoft Resource Compiler” legítimo e assinado digitalmente (rc.exe) para executar o carregamento lateral da DLL com rc.dll para carregar o shellcode .

O shellcode carrega o primeiro estágio do SysUpdate na memória, por isso é difícil para os AVs detectarem.

Em seguida, ele move os arquivos necessários para uma pasta codificada e estabelece a persistência com modificações no Registro ou criando um serviço, dependendo das permissões do processo.

O segundo estágio será iniciado após a próxima reinicialização do sistema para descompactar e carregar a carga principal do SysUpdate.

Hackers da Iron Tiger criaram versão Linux de seu malware
Hackers da Iron Tiger criaram versão Linux de seu malware – Cadeia de infecção SysUpdate (Trend Micro)

O SysUpdate é uma ferramenta de acesso remoto rica em recursos que permite que um agente de ameaça execute uma variedade de comportamentos maliciosos, conforme listado abaixo:

  • Gerenciador de serviços (lista, inicia, interrompe e exclui serviços)
  • captura de tela
  • Gerenciador de processos (navega e finaliza processos)
  • Recuperação de informações da unidade
  • Gerenciador de arquivos (localiza, exclui, renomeia, carrega, baixa um arquivo e navega em um diretório)
  • Execução do comando

A Trend Micro comenta que o Iron Tiger usou um executável assinado por Wazuh em estágios posteriores de sideload para combinar com o ambiente da vítima, já que a organização-alvo usou a plataforma Wazuh legítima.

Hackers da Iron Tiger criaram versão Linux de seu malware
Hackers da Iron Tiger criaram versão Linux de seu malware – Arquivos usados na última campanha APT27 (Trend Micro)

Nova versão Linux do SysUpdate
A variante Linux do SysUpdate é um executável ELF e compartilha chaves comuns de criptografia de rede e funções de manipulação de arquivos com sua contraparte do Windows.

O binário suporta cinco parâmetros que determinam o que o malware deve fazer a seguir: definir persistência, daemonizar o processo, definir um GUID (Globally Unique Identifier) para o sistema infectado, etc.

Parâmetros que podem ser passados para o binário SysUpdate (Trend Micro)
Hackers da Iron Tiger criaram versão Linux de seu malware – Parâmetros que podem ser passados para o binário SysUpdate (Trend Micro)

O malware estabelece persistência copiando um script para o diretório “/usr/lib/systemd/system/”, uma ação que requer privilégios de usuário root.
Conteúdo do script copiado (Trend Micro)
Hackers da Iron Tiger criaram versão Linux de seu malware – Conteúdo do script copiado (Trend Micro)

Ao ser iniciado, ele envia as seguintes informações para o servidor C2:

  • GUID (escolhido aleatoriamente se seu parâmetro não foi usado anteriormente)
  • Nome de anfitrião
  • Nome de usuário
  • Endereço IP local e porta usados para enviar a solicitação
  • PID atual
  • Versão do kernel e arquitetura da máquina
  • Caminho do arquivo atual
  • Boolean (0 se foi iniciado com exatamente um parâmetro, 1 caso contrário)

Um novo recurso na variante do Linux SysUpdate é o encapsulamento de DNS, visto apenas em uma amostra do malware no Windows.

O SysUpdate obtém informações de DNS do arquivo “/etc/resolv.conf” para recuperar o endereço IP DNS padrão do sistema, que pode ser usado para enviar e receber consultas DNS. Se isso falhar, ele usa o servidor DNS do Google em 8.8.8.8.

A ideia desse sistema é contornar firewalls ou ferramentas de segurança de rede que podem ser configuradas para bloquear todo o tráfego além de uma lista de permissões de endereço IP específica.

A Trend Micro diz que a escolha da biblioteca Asio para desenvolver a versão Linux do SysUpdate pode ser devido à sua portabilidade multiplataforma e prevê que uma versão macOS do malware pode aparecer em breve.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.