Lucky Mouse crée une version Linux du logiciel malveillant SysUpdate
Lucky Mouse, un groupe de cybermenaces, a créé une version Linux du logiciel malveillant appelée SysUpdate, augmentant ainsi sa capacité à attaquer les appareils utilisant le système d'exploitation.
Selon les chercheurs de Trend Micro, cette dernière campagne a consisté à distribuer des variantes Linux et Windows de SysUpdate contre diverses cibles, notamment une société de jeux d'argent basée aux Philippines. Selon les rapports, l'attaquant a enregistré le nom de domaine le plus ancien un mois avant de commencer la configuration C&C et a ensuite attendu un mois de plus avant de compiler l'échantillon malveillant lié à ce nom de domaine.
Les versions Linux et Windows de SysUpdate ont les mêmes fonctions de traitement des fichiers et les mêmes clés de chiffrement du réseau. Les chercheurs ont ajouté que les attaquants ont ajouté un tunnel DNS dans la variante Linux du logiciel malveillant, ce qui permet de contourner les pare-feu et les outils de sécurité du réseau.
Cette nouvelle version est similaire à la version 2021, à l'exception du fait que les classes C++ run-time type information (RTTI) que nous avons vues en 2021 ont été supprimées, et que la structure du code a été modifiée pour utiliser la bibliothèque asynchrone ASIO C++. Ces deux changements allongent le temps nécessaire à l'ingénierie inverse des échantillons. Nous conseillons vivement aux organisations et aux utilisateurs des secteurs ciblés de renforcer leurs mesures de sécurité afin de protéger leurs systèmes et leurs données contre cette campagne en cours.
Le vecteur d'infection exact utilisé dans l'attaque n'est pas connu, mais des preuves suggèrent que des installateurs déguisés en applications de messagerie comme Youdu ont été utilisés comme appâts pour activer la séquence d'attaque. La version Windows de SysUpdate comprend des fonctions permettant de gérer les processus, de prendre des captures d'écran, d'effectuer des opérations sur les fichiers et d'exécuter des commandes arbitraires. Il peut également communiquer avec des serveurs C2 via des requêtes DNS TXT, une méthode connue sous le nom de DNS Tunneling.
Pour charger le processus, l'attaquant exécute rc.exe, un fichier légitime signé "Microsoft Resource Compiler", qui est vulnérable à une vulnérabilité de chargement latéral de DLL, et charge un fichier nommé rc.dll. Le fichier malveillant rc.dll charge ensuite un fichier nommé rc.bin dans la mémoire. Le fichier rc.bin contient le shellcode codé par Shikata Ga Nai pour la décompression et le chargement de la première étape en mémoire. Différentes actions sont entreprises en fonction du nombre de paramètres de la ligne de commande.
Certaines de ces actions consistent à utiliser zéro ou deux paramètres pour installer un logiciel malveillant dans le système, puis à rappeler l'étape 1 en utilisant le processus d'évidement avec quatre paramètres. Le paramètre unique qui est identique à l'action précédente mais qui ne nécessite pas d'installation. Et les quatre paramètres qui génèrent une section de mémoire contenant la configuration du logiciel malveillant chiffrée en DES ainsi qu'un deuxième Shikata Ga Nai pour la décompression et le chargement du shellcode à l'étape 2. Il passe ensuite à l'étape 2 via le processus d'évidement.
L'étape d'"installation", au cours de laquelle le logiciel malveillant transporte les fichiers dans un dossier codé en dur, est considérée comme simple. En fonction des privilèges du processus, le logiciel malveillant génère une clé de registre ou un service qui lance l'exécutable relocalisé rc.exe avec un seul paramètre. Cela garantit que le logiciel malveillant sera lancé lors du prochain redémarrage, sans passer par l'étape de l'installation.
Les sources de cet article comprennent un article de TheHackerNews.