Budworm APT grupa razvija svoj sajber arsenal. U najnovijem otkriću, Symantecov Threat Hunter Team identifikovao je da je Budworm prilagodio i nadogradio jedan od svojih primarnih alata. Dva značajna subjekta, azijska vlada i bliskoistočna telekomunikaciona firma, bili su na meti ove obnovljene strategije.
Zaronimo u detalje
- U avgustu 2023. godine, Budworm, također poznat kao LuckyMouse, Emissary Panda i APT27, pokrenuo je napad primjenom ažuriranog SysUpdate backdoor-a – SysUpdate DLL inicore_v2.3.30.dll.
- Grupa je ovo kombinovala sa mešavinom prilagođenog malvera, zajedno sa nekoliko living-off-the-land i javno dostupnih alata.
- Primarni cilj hakera bio je prikupljanje kredencijala.
Analizirajući arsenal
- Tehnika koja je zaštitni znak Budworm-a sastoji se od izvršavanja SysUpdate-a na mrežama žrtava bočnim učitavanjem DLL payload-a pomoću autentične INISafeWebSSO aplikacije – taktika koju koristi najmanje od 2018.
- SysUpdate je višestruki backdoor sa mogućnostima u rasponu od upravljanja datotekama i izvršavanja naredbi do pravljenja snimaka ekrana i procesa pregledavanja.
- Grupa je, nadalje, koristila legitimne alate kao što su AdFind, Curl, SecretsDump i PasswordDumper u svojoj nedavnoj kampanji, naglašavajući svoj metodološki pristup napadima, miješajući zlonamjerne alate s legitimnim kako bi se izbjegla sumnja.
Zašto je ovo važno
- Polazeći od 2013. godine, Budwormovi napori su prvenstveno bili usmjereni na subjekte u sektoru odbrane, vlade i tehnologije, posebno u jugoistočnoj Aziji, na Bliskom istoku i u SAD-u.
- Profil žrtve APT27, poput nedavnog ciljanja jedne azijske vlade i bliskoistočne telekom kompanije, u skladu je s njegovim ciljevima prikupljanja obavještajnih podataka.
- Najnovija verzija SysUpdate-a potvrđuje kontinuirani razvoj grupe alata.
Zaključak
Organizacije bi trebale proaktivno ažurirati i zakrpiti svoje sisteme kako bi se suprotstavili poznatim ranjivostima koje iskorištavaju alati kao što je SysUpdate. Napredna rješenja za obavještavanje o prijetnjama i praćenje mogu pomoći u identifikaciji i suzbijanju neobičnih aktivnosti, posebno onih povezanih s poznatim hakerima kao što je Budworm.
Izvor: Cyware Alerts – Hacker News
