Китайская хакерская группа Budworm, занимающаяся кибершпионажем, была замечена в атаках на телекоммуникационные компании на Ближнем Востоке и государственные учреждения в Азии с использованием нового варианта бэкдора "SysUpdate"
SysUpdate - это троянская программа удаленного доступа (RAT), связанная с Budworm (также известной как APT27 или Emissary Panda) с 2020 года и поддерживающая работу с сервисами Windows, управление процессами и файлами, выполнение команд, поиск данных и создание снимков экрана
В марте 2023 года компания Trend Micro сообщила о Linux-варианте SysUpdate, который получил широкое распространение с октября 2022 года
Новейший вариант бэкдора SysUpdate был обнаружен командой Threat Hunter компании Symantec, входящей в состав Broadcom, в ходе последней кампании, прошедшей в августе 2023 года
По сообщению Symantec, бэкдор распространяется на системы жертв через боковую загрузку DLL, эксплуатируя легитимный исполняемый файл 'INISafeWebSSO.exe'
Вредоносный DLL-файл, используемый в атаках Budworm, идентифицируется как 'inicore_v2.3.30.dll', который помещается в рабочую директорию, поэтому запускается раньше легитимной версии за счет перехвата порядка поиска Windows
Загагружая SysUpdate в контексте легитимного программного процесса, злоумышленники могут избежать обнаружения средств защиты, работающих на скомпрометированном хосте
Наряду с SysUpdate компания Symantec сообщает об обнаружении нескольких общедоступных инструментов, используемых в последних атаках Budworm, таких как AdFind, Curl, SecretsDump и PasswordDumper
Эти инструменты помогают злоумышленникам выполнять различные действия, включая сброс учетных данных, создание сетевых карт, боковое распространение по скомпрометированной сети и кражу данных
Атаки на телекомммуникационные компании стали распространенной целью среди государственных и APT-хакерских групп
За последний месяц исследователи сообщали о других хакерских группах, взламывающих телекомммуникационные компании с целью установки пользовательских вредоносных программ HTTPSnoop и LuaDream, причем обе эти программы предоставляли "черный ход" в сети.
Деятельность Budworm в прошлом
Budworm будет выпущен в 2013 году, атакуя важные организации в правительстве, технологиях, оборонной промышленности и других ключевых секторах и отраслях
В 2020 году угрожающая группа экспериментировала с использованием инструмента Windows BitLocker для шифрования серверов нескольких компаний, занимающихся онлайн-играми и азартными играми, вероятно, с целью скрыть свои истинные шпионские намерения.
В 2022 году В начале 2022 года немецкая разведка предупредила о деятельности Budworm, подчеркнув опасность атак на цепочки поставок, направленных на владельцев ценной интеллектуальной собственности в этой стране
Позднее в том же году Министерство иностранных дел Бельгии сообщило, что атакам китайских хакеров подверглись несколько министерств обороны и внутренних дел страны
В августе 2022 года SEKOIA сообщила, что Budworm создал поддельные сайты, ориентированные на китайских пользователей, которые рекламировали кроссплатформенное приложение для обмена мгновенными сообщениями "MiMi".
Установочные файлы поддельного приложения заражали цели новым бэкдором под названием "rshell", способным похищать данные из систем Linux и macOS.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
