技術支援
文件
登錄
聯繫我們
幸運老鼠創建Linux版本的SysUpdate惡意軟體
奧班拉·奧佩耶米
實施期間: 2023年3月16 日 - TuxCare專家團隊
網路威脅組織Lucky Mouse創建了一個名為SysUpdate的Linux版本的惡意軟體,提高了其攻擊使用該操作系統的設備的能力。
據趨勢科技研究人員稱,這項最新的活動涉及針對各種目標分發SysUpdate的Linux和Windows變體,包括一家菲律賓的賭博公司。據報導,攻擊者在開始C&C配置前一個月註冊了最古老的域名,然後又等了一個月才編譯連結到該功能變數名稱的惡意樣本。
Linux和Windows版本的SysUpdate具有相同的文件處理功能和網路加密密鑰。研究人員補充說,攻擊者在惡意軟體的Linux變體中添加了DNS隧道,從而繞過防火牆和網路安全工具。
這個新版本與 2021 版本類似,只是我們在 2021 年看到的C++運行時類型資訊 (RTTI) 類已被刪除,並且代碼結構已更改為使用 ASIO C++異步庫。這兩種更改都延長了對樣品進行逆向工程所需的時間。我們強烈建議目標行業的組織和使用者加強其安全措施,以保護其系統和數據免受正在進行的活動的影響。
攻擊中使用的確切感染媒介尚不清楚,但有證據表明,偽裝成Youdu等消息傳遞應用程式的安裝程式被用作誘餌來激活攻擊序列。Windows 版本的 SysUpdate 包括用於管理進程、截屏、執行檔操作和運行任意命令的功能。它還可以通過 DNS TXT 請求與 C2 伺服器通信,這種方法稱為 DNS 隧道。
為了載入進程,攻擊者運行 rc.exe,一個合法的“Microsoft 資源編譯器”簽名檔,容易受到 DLL 旁載入漏洞的攻擊,並載入名為 rc.dll 的檔。然後惡意 rc.dll 在記憶體中載入一個名為 rc.bin 的檔。rc.bin檔包含Shikata Ga Nai編碼的shellcode,用於解壓縮並將第一階段載入記憶體中。根據命令行參數的數量,將採取不同的操作。
其中一些操作包括使用零個或兩個參數在系統中安裝惡意軟體,然後使用具有四個參數的進程挖空再次調用階段 1。一個與上一個操作相同但不需要安裝的參數。以及生成包含DES加密惡意軟體配置的記憶體部分以及第二個Shikata Ga Nai外殼代碼解壓縮和載入階段2的四個參數。然後,它通過過程鏤空進入階段 2。
惡意軟體將檔傳輸到硬編碼資料夾的「安裝」步驟被認為是簡單的。根據進程的許可權,惡意軟體會生成註冊表項或服務,以啟動具有單個參數的重新置放的可執行 rc.exe。這保證了惡意軟體在下次重新啟動時啟動,繞過安裝階段。
這篇文章的來源包括 TheHackerNews上的一篇文章。
