Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Lucky Mouse erstellt Linux-Version von SysUpdate-Malware
März 16, 2023 - TuxCare PR Team
Die Cyber-Bedrohungsgruppe Lucky Mouse hat eine Linux-Version der Malware mit dem Namen SysUpdate entwickelt, mit der sich Geräte, die dieses Betriebssystem verwenden, noch besser angreifen lassen.
Nach Angaben von Trend Micro-Forschern wurden bei dieser jüngsten Kampagne sowohl Linux- als auch Windows-Varianten von SysUpdate gegen eine Reihe von Zielen verteilt, darunter auch ein auf den Philippinen ansässiges Glücksspielunternehmen. Berichten zufolge registrierte der Angreifer den ältesten Domänennamen einen Monat vor Beginn der C&C-Konfiguration und wartete dann einen weiteren Monat, bevor er das mit diesem Domänennamen verknüpfte bösartige Sample zusammenstellte.
Sowohl die Linux- als auch die Windows-Version von SysUpdate verfügen über die gleichen Dateiverarbeitungsfunktionen und Netzwerkverschlüsselungsschlüssel. Die Forscher fügten hinzu, dass die Angreifer DNS-Tunneling in die Linux-Variante der Malware eingebaut haben, wodurch Firewalls und Netzwerksicherheitstools umgangen werden können.
Diese neue Version ähnelt der Version 2021, mit der Ausnahme, dass die C++-RTTI-Klassen (Run-Time Type Information), die wir in 2021 gesehen haben, entfernt wurden und die Codestruktur geändert wurde, um die asynchrone ASIO C++-Bibliothek zu verwenden. Beide Änderungen verlängern die Zeit, die für das Reverse Engineering der Beispiele benötigt wird. Wir raten Organisationen und Anwendern in den betroffenen Branchen dringend, ihre Sicherheitsmaßnahmen zu verstärken, um ihre Systeme und Daten vor dieser laufenden Kampagne zu schützen.
Der genaue Infektionsvektor, der bei dem Angriff verwendet wurde, ist unbekannt, aber es gibt Hinweise darauf, dass als Messaging-Apps wie Youdu getarnte Installationsprogramme als Köder verwendet wurden, um die Angriffssequenz zu aktivieren. Die Windows-Version von SysUpdate enthält Funktionen zur Verwaltung von Prozessen, zur Erstellung von Screenshots, zur Durchführung von Dateioperationen und zur Ausführung beliebiger Befehle. Sie kann auch mit C2-Servern über DNS-TXT-Anfragen kommunizieren, eine Methode, die als DNS-Tunneling bekannt ist.
Um den Prozess zu laden, führt der Angreifer rc.exe aus, eine legitime, von "Microsoft Resource Compiler" signierte Datei, die für eine DLL-Side-Loading-Schwachstelle anfällig ist, und lädt eine Datei namens rc.dll. Anschließend lädt die bösartige rc.dll eine Datei namens rc.bin in den Speicher. Die Datei rc.bin enthält den von Shikata Ga Nai kodierten Shellcode zum Dekomprimieren und Laden der ersten Stufe in den Speicher. Je nach Anzahl der Befehlszeilenparameter werden unterschiedliche Aktionen durchgeführt.
Einige dieser Aktionen umfassen die Verwendung von null oder zwei Parametern, um Malware im System zu installieren, und den erneuten Aufruf von Stufe 1 unter Verwendung von Process Hollowing mit vier Parametern. Der eine Parameter ist der gleiche wie bei der vorherigen Aktion, erfordert aber keine Installation. Und die vier Parameter, die einen Speicherabschnitt erzeugen, der die DES-verschlüsselte Malware-Konfiguration sowie eine zweite Shikata Ga Nai Shellcode-Dekomprimierung und Ladephase 2 enthält. Anschließend wird über den Prozess Hollowing zu Stufe 2 übergegangen.
Der Schritt "Installation", bei dem die Malware die Dateien in einen fest programmierten Ordner transportiert, gilt als einfach. Je nach den Rechten des Prozesses erzeugt die Malware einen Registrierungsschlüssel oder einen Dienst, der die verschobene ausführbare Datei rc.exe mit einem einzigen Parameter startet. Dadurch wird gewährleistet, dass die Malware beim nächsten Neustart gestartet wird und die Installationsphase umgangen wird.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
