ClickCease Lucky Mouse crée une version Linux du logiciel malveillant SysUpdate

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Lucky Mouse crée une version Linux du logiciel malveillant SysUpdate

Le 16 mars 2023 - L'équipe de relations publiques de TuxCare

Lucky Mouse, un groupe de cybermenaces, a créé une version Linux du logiciel malveillant appelée SysUpdate, augmentant ainsi sa capacité à attaquer les appareils utilisant le système d'exploitation.

Selon les chercheurs de Trend Micro, cette dernière campagne a consisté à distribuer des variantes Linux et Windows de SysUpdate contre diverses cibles, notamment une société de jeux d'argent basée aux Philippines. Selon les rapports, l'attaquant a enregistré le nom de domaine le plus ancien un mois avant de commencer la configuration C&C et a ensuite attendu un mois de plus avant de compiler l'échantillon malveillant lié à ce nom de domaine.

Les versions Linux et Windows de SysUpdate ont les mêmes fonctions de traitement des fichiers et les mêmes clés de chiffrement du réseau. Les chercheurs ont ajouté que les attaquants ont ajouté un tunnel DNS dans la variante Linux du logiciel malveillant, ce qui permet de contourner les pare-feu et les outils de sécurité du réseau.

Cette nouvelle version est similaire à la version 2021, à l'exception du fait que les classes C++ run-time type information (RTTI) que nous avons vues en 2021 ont été supprimées, et que la structure du code a été modifiée pour utiliser la bibliothèque asynchrone ASIO C++. Ces deux changements allongent le temps nécessaire à l'ingénierie inverse des échantillons. Nous conseillons vivement aux organisations et aux utilisateurs des secteurs ciblés de renforcer leurs mesures de sécurité afin de protéger leurs systèmes et leurs données contre cette campagne en cours.

Le vecteur d'infection exact utilisé dans l'attaque n'est pas connu, mais des preuves suggèrent que des installateurs déguisés en applications de messagerie comme Youdu ont été utilisés comme appâts pour activer la séquence d'attaque. La version Windows de SysUpdate comprend des fonctions permettant de gérer les processus, de prendre des captures d'écran, d'effectuer des opérations sur les fichiers et d'exécuter des commandes arbitraires. Il peut également communiquer avec des serveurs C2 via des requêtes DNS TXT, une méthode connue sous le nom de DNS Tunneling.

Pour charger le processus, l'attaquant exécute rc.exe, un fichier légitime signé "Microsoft Resource Compiler", qui est vulnérable à une vulnérabilité de chargement latéral de DLL, et charge un fichier nommé rc.dll. Le fichier malveillant rc.dll charge ensuite un fichier nommé rc.bin dans la mémoire. Le fichier rc.bin contient le shellcode codé par Shikata Ga Nai pour la décompression et le chargement de la première étape en mémoire. Différentes actions sont entreprises en fonction du nombre de paramètres de la ligne de commande.

Certaines de ces actions consistent à utiliser zéro ou deux paramètres pour installer un logiciel malveillant dans le système, puis à rappeler l'étape 1 en utilisant le processus d'évidement avec quatre paramètres. Le paramètre unique qui est identique à l'action précédente mais qui ne nécessite pas d'installation. Et les quatre paramètres qui génèrent une section de mémoire contenant la configuration du logiciel malveillant chiffrée en DES ainsi qu'un deuxième Shikata Ga Nai pour la décompression et le chargement du shellcode à l'étape 2. Il passe ensuite à l'étape 2 via le processus d'évidement.

L'étape d'"installation", au cours de laquelle le logiciel malveillant transporte les fichiers dans un dossier codé en dur, est considérée comme simple. En fonction des privilèges du processus, le logiciel malveillant génère une clé de registre ou un service qui lance l'exécutable relocalisé rc.exe avec un seul paramètre. Cela garantit que le logiciel malveillant sera lancé lors du prochain redémarrage, sans passer par l'étape de l'installation.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Lucky Mouse crée une version Linux du logiciel malveillant SysUpdate
Nom de l'article
Lucky Mouse crée une version Linux du logiciel malveillant SysUpdate
Description
Lucky Mouse a créé une version Linux du logiciel malveillant appelée SysUpdate, ce qui lui permet d'attaquer plus facilement les appareils utilisant ce système d'exploitation.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information