[03/03/2023] Iron Tiger, un grupo de amenazas persistentes avanzadas (APT), ha actualizado su malware SysUpdate para incluir nuevas funciones y añadir soporte de infección de malware para la plataforma Linux, según un informe de Trend Micro.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La muestra más temprana de esta versión se observó en julio del 2022 y tras encontrar múltiples cargas útiles similares a finales de octubre del 2022, los investigadores de Trend Micro empezaron a investigar y encontraron similitudes con la familia de malware SysUpdate.
Iron Tiger es un grupo de actores de amenazas con sede en China que llevan activos desde el 2013. En sus operaciones iniciales fueron vistos robando terabytes de datos confidenciales de empleados de empresas de alta tecnología en Estados Unidos. El grupo ha hecho que la lógica de carga de la última variante de malware sea compleja para evadir las soluciones de seguridad.
El SysUpdate de Linux
La última variante del malware está escrita en C++ utilizando la biblioteca Asio, y su funcionalidad es muy similar a la versión para Windows de SysUpdate de Iron Tiger. Según el informe de Trend Micro, el malware SysUpdate tiene funciones que pueden llevar a cabo servicios del sistema, realizar capturas de pantalla, examinar y finalizar procesos, recuperar información de unidades, ejecutar comandos y encontrar, eliminar, renombrar, cargar y descargar archivos, así como examinar el directorio de archivos de la víctima.
Mientras investigaban la infraestructura de SysUpdate, los investigadores encontraron algunos archivos ELF vinculados a algunos servidores de comando y control. "Los analizamos y concluimos que los archivos eran una versión de SysUpdate hecha para la plataforma Linux", sostiene el informe.
Las muestras ELF compartían claves de cifrado de red comunes y tenían muchas características similares, como las funciones de manejo de archivos. "Es posible que el desarrollador utilizara la biblioteca Asio por su portabilidad a múltiples plataformas", señala el informe.
En la versión para Linux hay una función adicional que lleva a cabo la comunicación de comando y control a través de peticiones DNS TXT. "Aunque se supone que DNS no es un protocolo de comunicación, el atacante abusa de este protocolo para enviar y recibir información", señala el informe.
Aunque se desconoce el vector de infección inicial, los investigadores observaron que también se utilizaban aplicaciones de chat para atraer y engañar a las víctimas para que descargaran la carga útil de la infección. Una vez descargado con éxito, el malware envía información como GUID, nombre de host, nombre de usuario, dirección IP local y puerto utilizado para enviar la solicitud, PID actual, versión del kernel y arquitectura de la máquina, y ruta de archivo actual a los servidores de comando y control.
Una de las víctimas de esta campaña fue una empresa de juegos de azar de Filipinas, según el informe. Se sabe que el actor de la amenaza tiene como objetivo la industria del juego y la región del sudeste asiático.
Interés en otras plataformas
El actor de la amenaza ya había manifestado su interés por otras plataformas distintas de Windows. En el 2022, Iron Tiger, también conocido como APT 27, fue visto atacando sistemas MacOS y Linux con su familia de malware llamada rshell.
Según el informe de Trend Micro, es probable que estas herramientas se actualicen en el futuro para adaptarse a otras plataformas y aplicaciones. "Es probable que el actor de la amenaza reutilice las herramientas aquí mencionadas en futuras campañas que podrían tener como objetivo diferentes regiones o industrias a corto y largo plazo", señala el informe.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú